Tres vulnerabilidades descubiertas en dispositivos UPS populares
Los investigadores de seguridad han descubierto un total de tres vulnerabilidades que afectan a los dispositivos de alimentación ininterrumpida. Las tres vulnerabilidades se conocen colectivamente como TLStorm y están causando preocupación debido al uso común de dispositivos UPS similares en infraestructura crítica.
Alrededor de 20 millones de dispositivos afectados
Las vulnerabilidades fueron descubiertas por primera vez por un equipo de investigación de Aramis Research. Las fallas fueron descubiertas en dispositivos UPS producidos por APC, una subsidiaria de Schneider Electric. Las unidades afectadas por las vulnerabilidades son los dispositivos Smart-UPS fabricados por la empresa.
Según las estimaciones, basadas en dónde se utilizan los dispositivos y el hecho de que alrededor de 20 millones de ellos están en uso, si los actores de amenazas explotan activamente las vulnerabilidades, esto podría provocar daños graves tanto en los sistemas de red como en la infraestructura del mundo real. Las fallas descubiertas permiten a los posibles atacantes usar los dispositivos UPS para obtener acceso no autorizado a una red y filtrar datos, así como causar interrupciones en los servicios al cortar la energía.
Las vulnerabilidades permiten un eventual RCE
Dos de las tres vulnerabilidades totales descubiertas involucran la manipulación del mecanismo de manejo de errores de Transport Layer Security, interviniendo en los pasos donde los dispositivos se conectan a la nube. Las dos primeras fallas, codificadas como CVE-2022-22805 y CVE-2022-22806, tienen calificaciones de gravedad de 9. Comprenden un error de desbordamiento de búfer que podría permitir la ejecución remota de código en el dispositivo y una omisión de autenticación. El bypass también podría permitir RCE en el dispositivo de destino.
Los errores se activan a través de lo que infosec llama "cero clic": paquetes no autenticados enviados a través de la red sin ningún tipo de interacción o intervención por parte de un usuario.
La vulnerabilidad final se registra como CVE-2022-0715 y constituye una falla que permite aplicar actualizaciones de firmware que no tienen firmas criptográficas seguras.
A raíz de la guerra en curso en Ucrania y la escalada de tensiones entre Rusia y Occidente, es necesario abordar con urgencia fallas similares que tienen el potencial de afectar importantes servicios, instalaciones e infraestructura crítica.
