Tre vulnerabilità scoperte nei dispositivi UPS popolari

I ricercatori di sicurezza hanno scoperto un totale di tre vulnerabilità che interessano i dispositivi di alimentazione di continuità. Le tre vulnerabilità sono denominate collettivamente TLStorm e destano preoccupazione a causa dell'uso comune di dispositivi UPS simili in infrastrutture critiche.

Circa 20 milioni di dispositivi interessati

Le vulnerabilità sono state scoperte per la prima volta da un team di ricerca con Aramis Research. I difetti sono stati scoperti nei dispositivi UPS prodotti da APC, una sussidiaria di Schneider Electric. Le unità interessate dalle vulnerabilità sono i dispositivi Smart-UPS prodotti dall'azienda.

Secondo le stime, in base a dove vengono utilizzati i dispositivi e al fatto che circa 20 milioni di essi sono in uso, se le vulnerabilità vengono sfruttate attivamente dagli attori delle minacce, ciò potrebbe causare seri danni sia ai sistemi di rete che alle infrastrutture del mondo reale. I difetti scoperti consentono a potenziali aggressori di utilizzare i dispositivi UPS per ottenere l'accesso non autorizzato a una rete ed esfiltrare dati, oltre a causare interruzioni dei servizi interrompendo l'alimentazione.

Le vulnerabilità consentono un eventuale RCE

Due delle tre vulnerabilità totali scoperte riguardano la manomissione del meccanismo di gestione degli errori di Transport Layer Security, intervenendo nei passaggi in cui i dispositivi si connettono al cloud. I primi due difetti, codificati come CVE-2022-22805 e CVE-2022-22806, hanno entrambi un grado di gravità di 9. Comprendono un bug di overflow del buffer che potrebbe consentire l'esecuzione di codice remoto sul dispositivo e un bypass dell'autenticazione. Il bypass potrebbe anche consentire RCE sul dispositivo di destinazione.

I bug vengono attivati attraverso ciò che infosec chiama "zero-click" - pacchetti non autenticati inviati sulla rete senza alcun tipo di interazione o intervento da parte dell'utente.

La vulnerabilità finale è registrata come CVE-2022-0715 e costituisce un difetto che consente di applicare aggiornamenti firmware a cui non sono state fornite firme crittografiche sicure.

Sulla scia della guerra in corso in Ucraina e dell'intensificarsi delle tensioni tra la Russia e l'Occidente, è necessario affrontare urgentemente difetti simili che potrebbero avere un impatto su importanti servizi, strutture e infrastrutture critiche.