Er zijn drie beveiligingsproblemen met hoge impact onthuld in: APC Smart-UPS-apparaten die door tegenstanders op afstand kunnen worden misbruikt als een fysiek wapen om ze op ongeoorloofde wijze te benaderen en te controleren.
collectief nagesynchroniseerd TLStormde gebreken “zorgen voor volledige overname van Smart-UPS-apparaten op afstand en de mogelijkheid om extreme cyber-fysieke aanvallen uit te voeren”, zeiden Ben Seri en Barak Hadad, onderzoekers van IoT-beveiligingsbedrijf Armis, in een rapport dat dinsdag werd gepubliceerd.
Ononderbroken stroomvoorziening (UPS) apparaten fungeren als noodstroomvoorziening in bedrijfskritieke omgevingen zoals medische faciliteiten, serverruimten en industriële systemen. De meeste getroffen apparaten, in totaal meer dan 20 miljoen, zijn tot nu toe geïdentificeerd in de gezondheidszorg, de detailhandel, de industrie en de overheid.
TLStorm bestaat uit een drietal kritieke fouten die kunnen worden geactiveerd via niet-geverifieerde netwerkpakketten zonder enige gebruikersinteractie, wat betekent dat het een zero-click-aanval is, met twee van de problemen waarbij sprake is van een defect TLS-handdruk tussen de UPS en de APC-cloud –
- CVE-2022-22805 (CVSS-score: 9,0) – TLS-bufferoverloop
- CVE-2022-22806 (CVSS-score: 9,0) – TLS-authenticatie-bypass
- CVE-2022-0715 (CVSS-score: 8,9) – Niet-ondertekende firmware-upgrade die via het netwerk kan worden bijgewerkt
Succesvolle exploitatie van een van de fouten kan resulteren in Remote Code Execution (RCE)-aanvallen op kwetsbare apparaten, die op hun beurt kunnen worden gebruikt om te knoeien met de activiteiten van de UPS om het apparaat of andere daarmee verbonden activa fysiek te beschadigen.
“Door onze RCE-kwetsbaarheid te gebruiken, waren we in staat om de softwarebescherming te omzeilen en de huidige piekperioden keer op keer te laten duren totdat de DC-linkcondensator opwarmde tot ~150 graden Celsius (~300F), waardoor de condensator barstte en de UPS in een wolk van elektrolytgas, wat bijkomende schade aan het apparaat veroorzaakt”, aldus de onderzoekers uitgelegd.
Om het nog erger te maken, zou de fout in het firmware-upgrademechanisme kunnen worden gebruikt om een kwaadaardige update op UPS-apparaten te plaatsen, waardoor de aanvallers voor langere tijd persistentie kunnen vaststellen en de gecompromitteerde host kunnen gebruiken als een gateway voor verdere aanvallen.
“Misbruik maken van fouten in firmware-upgrademechanismen wordt een standaardpraktijk van APT’s, zoals onlangs is uiteengezet in de analyse van de Cyclops Blink-malware, en het onjuist ondertekenen van firmwares van embedded apparaten is een terugkerend gebrek in verschillende embedded systemen”, aldus de onderzoekers. .
Na de verantwoordelijke bekendmaking aan Schneider Electric op 31 oktober 2021, zijn er fixes vrijgegeven als onderdeel van: Update dinsdag patch op 8 maart 2022. Klanten wordt aangeraden de meegeleverde updates te installeren om het risico op succesvol misbruik van deze kwetsbaarheden te verkleinen.
“UPS-apparaten worden, net als veel andere apparaten voor digitale infrastructuur, vaak geïnstalleerd en vergeten”, concluderen de onderzoekers. “Aangezien deze apparaten zijn verbonden met dezelfde interne netwerken als de kernbedrijfssystemen, kunnen exploitatiepogingen ernstige gevolgen hebben.”
