Trois vulnérabilités découvertes dans des onduleurs populaires

Les chercheurs en sécurité ont découvert un total de trois vulnérabilités affectant les dispositifs d'alimentation sans interruption. Les trois vulnérabilités sont collectivement appelées TLStorm et suscitent des inquiétudes en raison de l'utilisation courante d'onduleurs similaires dans les infrastructures critiques.

Environ 20 millions d'appareils concernés

Les vulnérabilités ont d'abord été découvertes par une équipe de recherche avec Aramis Research. Les failles ont été découvertes dans des onduleurs produits par APC, une filiale de Schneider Electric. Les unités affectées par les vulnérabilités sont les appareils Smart-UPS fabriqués par la société.

Selon des estimations, basées sur l'endroit où les appareils sont utilisés et sur le fait qu'environ 20 millions d'entre eux sont utilisés, si les vulnérabilités sont activement exploitées par des acteurs de la menace, cela pourrait entraîner de graves dommages aux systèmes de réseau et à l'infrastructure du monde réel. Les failles découvertes permettent à des attaquants potentiels d'utiliser les onduleurs pour obtenir un accès non autorisé à un réseau et exfiltrer des données, ainsi que pour perturber les services en coupant l'alimentation.

Les vulnérabilités permettent un éventuel RCE

Deux des trois vulnérabilités totales découvertes impliquent la falsification du mécanisme de gestion des erreurs de Transport Layer Security, intervenant dans les étapes où les appareils se connectent au cloud. Les deux premières failles, codifiées comme CVE-2022-22805 et CVE-2022-22806, ont toutes deux un indice de gravité de 9. Elles comprennent un bogue de dépassement de mémoire tampon qui pourrait permettre l'exécution de code à distance sur l'appareil et un contournement d'authentification. Le contournement pourrait également permettre le RCE sur l'appareil ciblé.

Les bogues sont déclenchés par ce que l'infosec appelle "zéro-clic" - des paquets non authentifiés envoyés sur le réseau sans aucune sorte d'interaction ou d'intervention de la part d'un utilisateur.

La vulnérabilité finale est enregistrée sous le nom de CVE-2022-0715 et constitue une faille qui permet d'appliquer des mises à jour de firmware qui n'ont pas reçu de signatures cryptographiques sécurisées.

À la suite de la guerre en cours en Ukraine et de l'escalade des tensions entre la Russie et l'Occident, des failles similaires susceptibles d'avoir un impact sur des services, des installations et des infrastructures critiques importants doivent être corrigées de toute urgence.