Trzy krytyczne luki w zabezpieczeniach urządzeń APC Smart-UPS, CVE-2022-22806, CVE-2022-22805, CVE-2022-0715

Niezależna firma badawcza zajmująca się wdrażaniem rozwiązań mających umożliwić bezpieczne korzystanie z urządzeń IoT, a także urządzeń medycznych i przemysłowych systemów sterowania (ICS) Armis odkryła zestaw trzech krytycznych luk w zabezpieczeniach urządzeń APC Smart-UPS, które mogą umożliwić zdalnym atakującym przejęcie urządzeń Smart-UPS i przeprowadzenie ekstremalnych ataków zarówno na urządzenia fizyczne, jak i zasoby IT. Zasilacze awaryjne (UPS) zapewniają awaryjne zasilanie rezerwowe dla zasobów o znaczeniu krytycznym i można je znaleźć w centrach danych, obiektach przemysłowych, szpitalach i innych. APC jest spółką zależną Schneider Electric i jest jednym z wiodących dostawców urządzeń UPS z ponad 20 milionami urządzeń sprzedanych na całym świecie.

W przypadku wykorzystania luki te, nazwane TLStorm, pozwalają na całkowite zdalne przejęcie urządzeń Smart-UPS i możliwość przeprowadzania ekstremalnych ataków cyber-fizycznych. Według danych firmy która odkryła lukę, prawie 8 na 10 firm jest narażonych na luki TLStorm.

CVE-2022-22806 — Obejście uwierzytelniania TLS: Pomyłka stanu w uzgadnianiu TLS prowadzi do obejścia uwierzytelniania, co prowadzi do zdalnego wykonania kodu (RCE) przy użyciu uaktualnienia oprogramowania układowego sieci.

CVE-2022-22805 — Przepełnienie buforu TLS: błąd uszkodzenia pamięci podczas ponownego składania pakietów (RCE).

Luki te mogą być wyzwalane przez nieuwierzytelnione pakiety sieciowe bez żadnej interakcji z użytkownikiem (atak ZeroClick). Trzecią luką w zabezpieczeniach jest wada konstrukcyjna polegająca na tym, że aktualizacje oprogramowania układowego na urządzeniach, których dotyczy problem, nie są kryptograficznie podpisane w bezpieczny sposób. Oznacza to, że osoba atakująca może spreparować złośliwe oprogramowanie układowe i zainstalować je przy użyciu różnych ścieżek, w tym Internetu, sieci LAN lub pamięci USB. Może to umożliwić atakującym ustanowienie długotrwałej trwałości na takich urządzeniach UPS, które mogą być wykorzystane jako twierdza w sieci, z której można przeprowadzać dodatkowe ataki.

CVE-2022-0715 — Niepodpisane uaktualnienie oprogramowania układowego, które można aktualizować przez sieć (RCE).

Luki TLS (CVE-2022-22805 i CVE-2022-22806)

Ponieważ programiści nie mogą wymyślać koła na nowo za każdym razem, gdy piszą nowy kod, programiści muszą polegać na bibliotekach kodu innych firm do tworzenia oprogramowania. W przypadku Log4j2 prawie każdy użytkownik biblioteki nieświadomie odziedziczył podatność na zdalne wykonanie kodu ( Log4Shell ).

Podstawową przyczyną obu luk TLS jest niewłaściwa obsługa błędów TLS w połączeniu TLS z Smart-UPS i chmury Schneider Electric. APC wykorzystuje Mocana nanoSSL jako bibliotekę odpowiedzialną za komunikację TLS. Podręcznik biblioteki wyraźnie stwierdza, że ​​użytkownicy biblioteki powinni zamknąć połączenie, gdy wystąpi błąd TLS. Jednak w przypadku korzystania z tej biblioteki przez APC niektóre błędy są ignorowane, pozostawiając połączenie otwarte, ale w stanie, do obsługi którego biblioteka nie została zaprojektowana.

SmartConnect – Najnowsza generacja modeli Smart-UPS implementuje funkcję o nazwie SmartConnect, która jest dedykowanym portem Ethernet, przez który urządzenie połączy się z usługą w chmurze i umożliwi zdalne zarządzanie urządzeniem.