Drei Sicherheitslücken in beliebten USV-Geräten entdeckt

Sicherheitsforscher haben insgesamt drei Schwachstellen entdeckt, die unterbrechungsfreie Stromversorgungsgeräte betreffen. Die drei Sicherheitslücken werden gemeinsam als TLStorm bezeichnet und geben aufgrund der häufigen Verwendung ähnlicher USV-Geräte in kritischen Infrastrukturen Anlass zur Sorge.

Rund 20 Millionen Geräte betroffen

Die Sicherheitslücken wurden zuerst von einem Forschungsteam von Aramis Research entdeckt. Die Fehler wurden in USV-Geräten entdeckt, die von APC, einer Tochtergesellschaft von Schneider Electric, hergestellt wurden. Bei den von den Sicherheitslücken betroffenen Geräten handelt es sich um die vom Unternehmen hergestellten Smart-UPS-Geräte.

Schätzungen zufolge, basierend auf dem Einsatzort der Geräte und der Tatsache, dass rund 20 Millionen von ihnen im Einsatz sind, könnte die aktive Ausnutzung der Schwachstellen durch Angreifer zu ernsthaften Schäden sowohl an Netzwerksystemen als auch an der realen Infrastruktur führen. Die entdeckten Schwachstellen ermöglichen es potenziellen Angreifern, die USV-Geräte zu verwenden, um unbefugten Zugriff auf ein Netzwerk zu erlangen und Daten zu exfiltrieren sowie durch Unterbrechung der Stromversorgung Dienste zu unterbrechen.

Schwachstellen ermöglichen eventuelle RCE

Zwei der drei insgesamt entdeckten Schwachstellen betreffen die Manipulation des Fehlerbehandlungsmechanismus von Transport Layer Security, indem in die Schritte eingegriffen wird, in denen sich die Geräte mit der Cloud verbinden. Die ersten beiden Fehler, kodifiziert als CVE-2022-22805 und CVE-2022-22806, haben beide einen Schweregrad von 9. Sie umfassen einen Pufferüberlauf-Bug, der eine Remote-Code-Ausführung auf dem Gerät und eine Umgehung der Authentifizierung ermöglichen könnte. Die Umgehung könnte auch RCE auf dem Zielgerät ermöglichen.

Die Fehler werden durch das ausgelöst, was Infosec „Zero-Click“ nennt – nicht authentifizierte Pakete, die ohne jegliche Interaktion oder Intervention seitens eines Benutzers über das Netzwerk gesendet werden.

Die letzte Schwachstelle wird als CVE-2022-0715 aufgezeichnet und stellt einen Fehler dar, der es ermöglicht, Firmware-Updates anzuwenden, denen keine sicheren kryptografischen Signaturen gegeben wurden.

Nach dem anhaltenden Krieg in der Ukraine und den eskalierten Spannungen zwischen Russland und dem Westen müssen ähnliche Mängel, die möglicherweise wichtige Dienste, Einrichtungen und kritische Infrastrukturen beeinträchtigen, dringend angegangen werden.