人気のあるUPSデバイスで発見された3つの脆弱性

セキュリティ研究者は、無停電電源装置に影響を与える合計3つの脆弱性を発見しました。 3つの脆弱性はまとめてTLStormと呼ばれ、重要なインフラストラクチャで同様のUPSデバイスが一般的に使用されているために懸念を引き起こしています。

影響を受ける約2,000万台のデバイス

脆弱性は、AramisResearchの研究チームによって最初に発見されました。この欠陥は、シュナイダーエレクトリックの子会社であるAPCが製造したUPSデバイスで発見されました。脆弱性の影響を受けるユニットは、同社が製造したSmart-UPSデバイスです。

推定によると、デバイスが使用されている場所と約2,000万台のデバイスが使用されているという事実に基づいて、脆弱性が脅威アクターによって積極的に悪用されると、ネットワークシステムと実際のインフラストラクチャの両方に深刻な損害を与える可能性があります。発見された欠陥により、潜在的な攻撃者はUPSデバイスを使用してネットワークへの不正アクセスを取得し、データを盗み出し、電源を遮断してサービスを中断させる可能性があります。

脆弱性により、最終的なRCEが発生する可能性があります

発見された3つの脆弱性のうち2つは、デバイスがクラウドに接続するステップに介入する、トランスポート層セキュリティのエラー処理メカニズムの改ざんに関係しています。 CVE-2022-22805およびCVE-2022-22806として成文化された最初の2つの欠陥は、どちらも重大度9です。これらは、デバイスでのリモートコード実行と認証バイパスを可能にする可能性のあるバッファオーバーフローバグを含みます。バイパスにより、ターゲットデバイスでRCEが可能になる場合もあります。

バグは、infosecが「ゼロクリック」と呼ぶものによって引き起こされます。認証されていないパケットは、ユーザーの一部に何らかの対話や介入を行わずにネットワーク経由で送信されます。

最後の脆弱性はCVE-2022-0715として記録されており、安全な暗号署名が付与されていないファームウェアアップデートを適用できる欠陥を構成しています。

ウクライナで進行中の戦争とロシアと西側の間の緊張の高まりを受けて、重要なサービス、施設、および重要なインフラストラクチャに影響を与える可能性のある同様の欠陥に緊急に対処する必要があります。