Armis公司研究人员在APC Smart-UPS设备中发现了一组三个关键的零日漏洞,这些漏洞可让远程攻击者接管 Smart-UPS设备并对物理设备和 IT 资产进行极端攻击。不间断电源 (UPS)设备为关键任务资产提供应急备用电源,可在数据中心、工业设施、医院等场所找到。APC是施耐德电气的子公司,是UPS设备的领先供应商之一,在全球销售了超过2000万台设备。如果被利用,这些被称为TLStorm的漏洞允许完全远程接管Smart-UPS设备并能够进行极端的网络物理攻击。根据Armi s的数据,近10家公司中有8家暴露于TLSstorm漏洞。
一、TLSstorm漏洞概述
这组发现的漏洞包括云连接Smart-UPS设备使用的TLS实施中的两个严重漏洞,以及第三个严重漏洞,即设计缺陷,其中所有Smart-UPS设备的固件升级都没有正确签名和验证。其中两个漏洞涉及UPS和施耐德电气云之间的TLS连接。支持SmartConnect功能的设备会在启动时或云连接暂时丢失时自动建立TLS连接。
CVE-2022-22806:TLS 身份验证绕过: TLS 握手中的状态混淆导致身份验证绕过,导致使用网络固件升级进行远程代码执行 (RCE)。
CVE-2022-22805:TLS 缓冲区溢出: 数据包重组 (RCE) 中的内存损坏错误。
这两个漏洞可以通过未经身份验证的网络数据包触发,无需任何用户交互(ZeroClick 攻击)。
CVE-2022-0715:可通过网络更新的未签名固件升级 (RCE)。
第三个漏洞是设计缺陷,受影响设备上的固件更新未以安全方式进行加密签名。这意味着攻击者可以制作恶意固件并使用各种路径(包括Internet、LAN或USB驱动器)进行安装。这可以让攻击者在此类 UPS设备上建立持久的持久性,这些设备可以用作网络中的据点,可以从中进行额外的攻击。
滥用固件升级机制中的缺陷正在成为APT的标准做法,正如最近在对Cyclops Blink恶意软件的分析中所详述的那样,嵌入式设备固件的不当签名是各种嵌入式系统中反复出现的缺陷。Armis之前在Swisslog PTS系统中发现的漏洞( PwnedPiper , CVE-2021-37160) 是类似漏洞的结果。
Armis已于2021年10月31日向施耐德电气披露了这些漏洞。此后,Armis与施耐德电气合作创建并测试了一个补丁,该补丁现已普遍可用。
在当地时间3月8日发布的安全公告中,施耐德电气表示,这些漏洞被归类为“严重”和“高严重性”,影响 SMT、SMC、SCL、SMX、SRT和SMTL系列产品。该公司已开始发布包含针对这些漏洞的补丁的固件更新。对于没有固件补丁的产品,施耐德提供了一系列缓解措施来降低被利用的风险。
二、受影响的设备型号列表
SmartConnect 系列
产品 |
受影响的版本 |
CVE |
SMT系列 |
SMT 系列 ID=1015:UPS 04.5 及之前版本 |
CVE-2022-22805 CVE-2022-22806 CVE-2022-0715 |
SMC系列 |
SMC 系列 ID=1018:UPS 04.2 及更早版本 |
CVE-2022-22805 CVE-2022-22806 CVE-2022-0715 |
SMTL系列 |
SMTL 系列 ID=1026:UPS 02.9 及之前版本 |
CVE-2022-22805 CVE-2022-22806 CVE-2022-0715 |
SCL系列 |
SCL 系列 ID=1029:UPS 02.5 及之前 版本 SCL 系列 ID=1030:UPS 02.5 及之前版本 SCL 系列 ID=1036:UPS 02.5 及之前 版本 SCL 系列 ID=1037:UPS 03.1 及之前 版本 |
CVE-2022-22805 CVE-2022-22806 CVE-2022-0715 |
SMX 系列 |
SMX 系列 ID=1031:UPS 03.1 及更早版本 |
CVE-2022-22805 CVE-2022-22806 CVE-2022-0715 |
Smart-UPS 系列
产品 |
受影响的版本 |
CVE |
SMT系列 |
SMT 系列 ID=18:UPS 09.8 和之前 SMT 系列 ID=1040:UPS 01.2 和之前 SMT 系列 ID=1031:UPS 03.1 和之前 |
CVE-2022-0715 |
SMC系列 |
SMC 系列 ID=1005:UPS 14.1 和之前 SMC 系列 ID=1007:UPS 11.0 和之前 SMC 系列 ID=1041:UPS 01.1 和之前 |
CVE-2022-0715 |
SCL系列 |
SCL 系列 ID=1030:UPS 02.5和之前 SCL 系列 ID=1036:UPS 02.5和之前 |
CVE-2022-0715 |
SMX 系列 |
SMX 系列 ID=20:UPS 10.2和之前 SMX 系列 ID=23:UPS 07.0和之前 |
CVE-2022-0715 |
SRT系列 |
SRT 系列 ID=1010/1019/1025:UPS 08.3和之前 SRT 系列 ID=1024:UPS 01.0和之前 SRT 系列 ID=1020:UPS 10.4和之前 SRT 系列 ID=1021:UPS 12.2和之前 SRT 系列 ID=1001/ 1013:UPS 05.1和更早版本 SRT 系列 ID=1002/1014:UPSa05.2和更早版本 |
CVE-2022-0715 |
三、风险及影响
UPS设备调节高压电源的事实,加上它们的互联网连接,使它们成为高价值的网络物理目标。在电视剧《机器人先生》中,不良行为者使用APC UPS设备引发爆炸。然而,这不再是虚构的攻击。通过在实验室中利用这些漏洞,Armis研究人员能够远程点燃Smart-UPS设备并使其真正化为乌有。
由于TLS攻击向量可以源自Internet,因此这些漏洞可以充当企业内部网络的网关。不良行为者可以使用TLS状态混淆将自己标识为施耐德电气云,并收集有关公司防火墙后面的 UPS的信息。然后,他们可以远程更新UPS 固件,并将UPS用作勒索软件攻击或任何其他类型恶意操作的入口点。
Armis主动研究各种资产,以帮助安全领导者保护其组织免受新威胁,包括针对IT资产和网络物理系统(CPS)的威胁。作为这项研究的一部分,该公司调查了APC Smart-UPS设备以及它们与各自的远程管理和监控服务进行通信的方式。
攻击者可以通过互联网远程接管设备
最新的 APC Smart-UPS型号通过云连接进行控制。Armis 研究人员发现,利用TLStorm漏洞的攻击者可以通过Internet远程接管设备,而无需任何用户交互或攻击迹象。因此,攻击者可以对设备执行远程代码执行(RCE)攻击,进而可以用来改变UPS的操作,从而对设备本身或与其连接的其他资产造成物理损坏。
俄乌冲突凸显了TLSstorm的关键性质
过去曾发生过针对电网及其内部设备的攻击,其中最著名的是2015年发生的乌克兰电网攻击——其中UPS设备(以及许多其他类型的设备)已被远程黑客入侵,导致大规模停电。近期的俄乌冲突事件引发了美国官员的担忧,即美国电网将成为俄罗斯通过网络攻击的目标。TLSStorm漏洞的发现突显了企业环境中负责电源可靠性的设备的易变性,并强调需要采取行动并保护此类设备免受恶意攻击。
四、不间断电源(UPS)使用范围广泛
不间断电源(UPS)设备为关键任务资产提供紧急备用电源。在电力中断可能导致伤害、业务停机或数据丢失的情况下,UPS设备有助于确保关键技术的高可用性:服务器机房、医疗设施、OT/ICS环境、住宅。受TLSstorm漏洞影响的设备按行业统计,参见下图。
五、如何保护UPS设备?
用户可以采取一些步骤来最大程度地降低攻击风险。Armis 建议使用所有三种缓解措施,而不仅仅是更新设备。
1. 安装 Schneider Electric网站上提供的修补程序。
2. 如果您使用NMC,请更改默认NMC口令(“apc”)并安装公开签名的SSL证书,这样您网络上的攻击者将无法截获新口令。要进一步限制NMC的攻击面,请参阅Schneider Electric Security Handbook for NMC2和NMC3。
3. 部署访问控制列表(ACL),其中仅允许UPS设备通过加密通信与一小部分管理设备和施耐德电气云进行通信。
与许多其他数字基础设施设备一样,UPS设备经常被安装和遗忘。由于这些设备与核心业务系统连接到相同的内部网络,因此利用尝试可能会产生严重影响。
对于安全专业人员来说,拥有所有资产的完整可见性以及监控其行为的能力以识别异常和/或利用尝试是很重要的。然而,传统的安全解决方案并不涵盖这些资产。因此,它们仍然“看不见”,从而使组织面临重大风险。
资料来源
1、https://www.armis.com/research/tlstorm/
2、https://www.securityweek.com/millions-apc-smart-ups-devices-can-be-remotely-hacked-damaged返回搜狐,查看更多
责任编辑: