Ανακαλύφθηκαν τρία τρωτά σημεία σε δημοφιλείς συσκευές UPS

Οι ερευνητές ασφαλείας ανακάλυψαν συνολικά τρία τρωτά σημεία που επηρεάζουν τις συσκευές αδιάλειπτης παροχής ρεύματος. Τα τρία τρωτά σημεία αναφέρονται συλλογικά ως TLStorm και προκαλούν ανησυχία λόγω της κοινής χρήσης παρόμοιων συσκευών UPS σε υποδομές ζωτικής σημασίας.

Επηρεάζονται περίπου 20 εκατομμύρια συσκευές

Τα τρωτά σημεία ανακαλύφθηκαν για πρώτη φορά από μια ερευνητική ομάδα με την Aramis Research. Τα ελαττώματα ανακαλύφθηκαν σε συσκευές UPS που παράγονται από την APC, θυγατρική της Schneider Electric. Οι μονάδες που επηρεάζονται από τα τρωτά σημεία είναι οι συσκευές Smart-UPS που κατασκευάζει η εταιρεία.

Σύμφωνα με εκτιμήσεις, με βάση το πού χρησιμοποιούνται οι συσκευές και το γεγονός ότι περίπου 20 εκατομμύρια από αυτές χρησιμοποιούνται, εάν τα τρωτά σημεία εκμεταλλευτούν ενεργά τους παράγοντες απειλών, αυτό θα μπορούσε να οδηγήσει σε σοβαρή ζημιά τόσο στα συστήματα δικτύου όσο και στις υποδομές του πραγματικού κόσμου. Τα ελαττώματα που ανακαλύφθηκαν επιτρέπουν στους πιθανούς εισβολείς να χρησιμοποιήσουν τις συσκευές UPS για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ένα δίκτυο και να εκμεταλλευτούν δεδομένα, καθώς και να προκαλέσουν διακοπή στις υπηρεσίες διακόπτοντας την τροφοδοσία.

Τα τρωτά σημεία επιτρέπουν ενδεχόμενο RCE

Δύο από τις τρεις συνολικές ευπάθειες που ανακαλύφθηκαν αφορούν την παραβίαση του μηχανισμού διαχείρισης σφαλμάτων του Transport Layer Security, παρεμβαίνοντας στα βήματα όπου οι συσκευές συνδέονται με το cloud. Τα δύο πρώτα ελαττώματα, κωδικοποιημένα ως CVE-2022-22805 και CVE-2022-22806, έχουν και τα δύο βαθμολογίες σοβαρότητας 9. Περιλαμβάνουν ένα σφάλμα υπερχείλισης buffer που θα μπορούσε να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα στη συσκευή και μια παράκαμψη ελέγχου ταυτότητας. Η παράκαμψη θα μπορούσε επίσης να επιτρέψει RCE στη στοχευμένη συσκευή.

Τα σφάλματα ενεργοποιούνται μέσω αυτού που η infosec αποκαλεί "μηδενικό κλικ" - μη επικυρωμένα πακέτα που αποστέλλονται μέσω του δικτύου χωρίς κανενός είδους αλληλεπίδραση ή παρέμβαση από μέρους ενός χρήστη.

Η τελική ευπάθεια καταγράφεται ως CVE-2022-0715 και αποτελεί ένα ελάττωμα που επιτρέπει την εφαρμογή ενημερώσεων υλικολογισμικού που δεν έχουν λάβει ασφαλείς κρυπτογραφικές υπογραφές.

Στον απόηχο του συνεχιζόμενου πολέμου στην Ουκρανία και της κλιμάκωσης των εντάσεων μεταξύ της Ρωσίας και της Δύσης, παρόμοια ελαττώματα που έχουν τη δυνατότητα να επηρεάσουν σημαντικές υπηρεσίες, εγκαταστάσεις και κρίσιμες υποδομές πρέπει να αντιμετωπιστούν επειγόντως.