Drie kwetsbaarheden ontdekt in populaire UPS-apparaten

Beveiligingsonderzoekers hebben in totaal drie kwetsbaarheden ontdekt die van invloed zijn op apparaten met een ononderbroken stroomvoorziening. De drie kwetsbaarheden worden gezamenlijk TLStorm genoemd en zijn zorgwekkend vanwege het algemene gebruik van vergelijkbare UPS-apparaten in kritieke infrastructuur.

Ongeveer 20 miljoen apparaten getroffen

De kwetsbaarheden werden voor het eerst ontdekt door een onderzoeksteam van Aramis Research. De gebreken werden ontdekt in UPS-apparaten geproduceerd door APC, een dochteronderneming van Schneider Electric. De eenheden die door de kwetsbaarheden worden getroffen, zijn de Smart-UPS-apparaten die door het bedrijf zijn vervaardigd.

Volgens schattingen, op basis van waar de apparaten worden gebruikt en het feit dat er ongeveer 20 miljoen in gebruik zijn, als de kwetsbaarheden actief worden uitgebuit door bedreigingsactoren, kan dit leiden tot ernstige schade aan zowel netwerksystemen als de echte infrastructuur. De ontdekte fouten stellen potentiële aanvallers in staat om de UPS-apparaten te gebruiken om ongeautoriseerde toegang tot een netwerk te krijgen en gegevens te exfiltreren, en om verstoringen in de dienstverlening te veroorzaken door de stroom uit te schakelen.

Kwetsbaarheden zorgen voor eventuele RCE

Twee van de drie totale kwetsbaarheden die zijn ontdekt, hebben betrekking op het knoeien met het foutafhandelingsmechanisme van Transport Layer Security, tussenkomst in de stappen waar de apparaten verbinding maken met de cloud. De eerste twee fouten, gecodeerd als CVE-2022-22805 en CVE-2022-22806, hebben beide een ernstclassificatie van 9. Ze omvatten een bufferoverloopfout die het mogelijk zou maken om externe code op het apparaat uit te voeren en een authenticatie-bypass. De bypass kan ook RCE op het beoogde apparaat mogelijk maken.

De bugs worden geactiveerd door wat infosec "zero-click" noemt - niet-geverifieerde pakketten die over het netwerk worden verzonden zonder enige vorm van interactie of tussenkomst van een gebruiker.

De laatste kwetsbaarheid is geregistreerd als CVE-2022-0715 en vormt een fout die het mogelijk maakt om firmware-updates toe te passen die geen veilige cryptografische handtekeningen hebben gekregen.

In het kielzog van de aanhoudende oorlog in Oekraïne en de oplopende spanningen tussen Rusland en het Westen, moeten soortgelijke gebreken die van invloed kunnen zijn op belangrijke diensten, faciliteiten en kritieke infrastructuur dringend worden aangepakt.