Ponad 20 mln UPSów firmy APC narażonych jest na przejęcie przez cyberprzestępców

9 marca 20229 marca 2022 Rafał Skrzypek aktualizacja, APC, Armis, cyberbezpieczeństwo, firmware, Schneider Electric, TLStorm, UPS, zasilacze awaryjne

Trzy luki zero-day, zidentyfikowane w zasilaczach awaryjnych (UPS) marki APC firmy Schneider Electric, mogą umożliwić atakującemu nie tylko uzyskanie dostępu do sieci urządzenia, ale nawet potencjalnie unieruchomienie, a nawet zniszczenie UPS-a oraz dołączonych do niego sprzętów. Luki dotyczą ponad 20 milionów UPSów. Zbiorczo nazwano je TLStorm.

Do niedawna sprzęt, taki jak urządzenia UPS, nie był postrzegany jako zagrożenie dla bezpieczeństwa. Stało się jednak jasne, że mechanizmy zabezpieczeń w zdalnie zarządzanych urządzeniach nie zostały odpowiednio wdrożone, co oznacza, że cyberprzestępcy będą mogli wykorzystać je jako wektor ataku – powiedział Barak Hadad, szef działu badawczego firmy Armis.

Badacze Armis odkryli, że atakujący, wykorzystując luki TLStorm, może zdalnie przejąć kontrolę nad urządzeniem bez jakiejkolwiek interakcji użytkownika lub oznak włamania. W rezultacie cyberprzestępcy mogą przeprowadzić atak RCE (remote code execution – zdalne wykonanie kodu), który z kolei może zostać wykorzystany do zmiany sposobu działania zasilacza UPS w celu fizycznego uszkodzenia samego urządzenia lub innych podłączonego do niego sprzętów.

Co zagraża zasilaczom UPS firmy APC?

Badacze firmy Armis znaleźli trzy osobne luki zero-day w urządzeniach APC Smart-UPS, z których każda ma swój własny numer CVE:

Przepełnienie bufora TLS (CVE-2022-22805)
Obejście uwierzytelniania TLS (CVE-2022-22086)
Błąd w firmware (CVE-2022-0715).

Oba exploity TLS są uruchamiane za pomocą nieuwierzytelnionych pakietów sieciowych, natomiast trzeci wymaga od osoby atakującej spreparowania złośliwej aktualizacji oprogramowania sprzętowego (firmware) i zainstalowania jej przez Internet, połączenie LAN lub za pomocą zewnętrznego napędu. Jest to możliwe, ponieważ zaatakowane urządzenia nie mają kryptograficznie podpisanych aktualizacji oprogramowania sprzętowego.

Armis zauważa, że nadużywanie mechanizmów aktualizacji firmware’u staje się standardową praktyką i zostało już udokumentowane w poprzednich atakach. Zmodyfikowane aktualizacje to metoda, którą atakujący wykorzystują do zapewnienia sobie swobodnego dostępu, a w przypadku tak często pomijanego urządzenia jak UPS, daje im to szansę na zbudowanie twierdzy i infiltrację całej sieci.

Biorąc pod uwagę ponad 20 milionów urządzeń dotkniętych problemem, warto poświęcić czas na sprawdzenie, czy nie dotyczy on również naszych zasilaczy UPS APC. Firma Schneider Electric poinformowała w swoim komunikacie, że problem dotyczy urządzeń z serii SMT, SMC, SMX, SCL, SMTL i SRT oraz podała dodatkowe informacje na temat identyfikacji modeli i wersji firmware’u.

Critical Infrastructure Defense Project uruchomiony przez Cloudflare, CrowdStrike i Ping Identity

Jeśli urządzenie znajduje się na liście, należy jak najszybciej zaktualizować firmware. Zarówno Schneider Electric jak i Armis twierdzą, że nie ma dowodów na to, iż luki te zostały już wykorzystane, ale teraz, kiedy zostały ujawnione, można spodziewać się ataków z ich wykorzystaniem.

Źródło: Armis

Rafał Skrzypek

Miłośnik nowoczesnych technologii, głównie nowych rozwiązań IT. Redaktor w czasopismach Gambler, Enter, PC Kurier, Telecom Forum, Secret Service, Click!, Komputer Świat Gry, Play, GameRanking. Wiele lat spędził w branży tłumaczeniowej – głównie gier i programów użytkowych. W wolnych chwilach lata szybowcem, jeździ na rowerze i pochłania duże ilości książek.