Los errores de día cero de APC UPS pueden quemar dispositivos de forma remota

Un conjunto de tres vulnerabilidades críticas de día cero ahora rastreadas como TLStorm podría permitir a los piratas informáticos tomar el control de los dispositivos de suministro de energía ininterrumpida (UPS) de APC, una subsidiaria de Schneider Electric.

Las fallas afectan a los sistemas Smart-UPS de APC que son populares en una variedad de sectores de actividad, incluidos el gobierno, el cuidado de la salud, la industria, la TI y el comercio minorista.

Los dispositivos UPS actúan como soluciones de respaldo de energía de emergencia y están presentes en entornos de misión crítica, como centros de datos, instalaciones industriales y hospitales.


Riesgo de impacto físico

Los investigadores de Armis, una empresa que ofrece soluciones de seguridad para dispositivos conectados en empresas, encontraron los tres problemas en la familia de productos SmartConnect y Smart-UPS de APC.

Dos de las vulnerabilidades, CVE-2022-22805 y CVE-2022-22806 están en la implementación del protocolo TLS (Transport Layer Security) que conecta los dispositivos Smart-UPS con la función "SmartConnect" a la nube de gestión de Schneider Electric.


El tercero, identificado como CVE-2022-0715, se relaciona con el firmware de "casi todos los dispositivos Smart-UPS de APC", que no está firmado criptográficamente y su autenticidad no se puede verificar cuando se instala en el sistema.

Si bien el firmware está encriptado (simétrico), carece de una firma criptográfica, lo que permite a los actores de amenazas crear una versión maliciosa y entregarla como una actualización a los dispositivos UPS objetivo para lograr la ejecución remota de código (RCE).

Los investigadores de Armis pudieron explotar la falla y crear una versión de firmware de APC maliciosa que fue aceptada por los dispositivos Smart-UPS como una actualización oficial, un proceso que se realiza de manera diferente según el objetivo:

- Los últimos dispositivos Smart-UPS que cuentan con la funcionalidad de conexión a la nube SmartConnect se pueden actualizar desde la consola de administración de la nube a través de Internet
- Los dispositivos Smart-UPS más antiguos que usan la tarjeta de administración de red (NMC) se pueden actualizar a través de la red local
- La mayoría de los dispositivos Smart-UPS también se pueden actualizar mediante una unidad USB

Teniendo en cuenta que las unidades UPS de APC vulnerables se utilizan en aproximadamente ocho de cada 10 empresas, según datos de Armis, y los entornos sensibles a los que sirven (instalaciones médicas, red ICS, salas de servidores), las implicaciones pueden tener consecuencias físicas significativas.

Las vulnerabilidades relacionadas con TLS que descubrió Armis parecen ser más graves, ya que pueden ser explotadas por un atacante no autenticado sin interacción del usuario, en lo que se conoce como un ataque de clic cero.

Citar"[CVE-2022-22806 y CVE-2022-22805] involucran la conexión TLS entre el UPS y la nube de Schneider Electric. Los dispositivos que admiten la función SmartConnect establecen automáticamente una conexión TLS al iniciarse o cuando las conexiones a la nube se pierden temporalmente" - Armis Labs

Ambas vulnerabilidades son causadas por un manejo inadecuado de errores de TLS en la conexión TLS del Smart-UPS al servidor de Schneider Electric, y conducen a la ejecución remota de código cuando se aprovechan adecuadamente.

Uno de los problemas de seguridad es una omisión de autenticación causada por "confusión de estado en el protocolo de enlace TLS", el otro es un error de corrupción de memoria.

Recomendaciones de mitigación

El informe de los investigadores explica los aspectos técnicos de las tres vulnerabilidades de TLStorm y proporciona un conjunto de recomendaciones para asegurar los dispositivos UPS:

- Instale los parches disponibles en el sitio web de Schneider Electric
- Si está utilizando la NMC, cambie la contraseña predeterminada de la NMC ("apc") e instale un certificado SSL firmado públicamente para que un atacante en su red no pueda interceptar la nueva contraseña. Para limitar aún más la superficie de ataque de su NMC, consulte el Manual de seguridad de Schneider Electric para  NMC 2  y  NMC 3 .
- Implemente listas de control de acceso (ACL) en las que los dispositivos UPS solo pueden comunicarse con un pequeño conjunto de dispositivos de administración y Schneider Electric Cloud a través de comunicaciones cifradas.

Armis también ha publicado un libro blanco técnico con todos los detalles de la investigación.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta