Trzy luki wykryte w popularnych urządzeniach UPS
Badacze bezpieczeństwa odkryli łącznie trzy luki w zabezpieczeniach urządzeń zasilających bezprzerwowych. Trzy luki są łącznie określane jako TLStorm i budzą niepokój ze względu na powszechne stosowanie podobnych urządzeń UPS w infrastrukturze krytycznej.
Dotyczy około 20 milionów urządzeń
Luki zostały po raz pierwszy odkryte przez zespół badawczy z Aramis Research. Wady zostały odkryte w urządzeniach UPS produkowanych przez APC, spółkę zależną Schneider Electric. Jednostkami dotkniętymi podatnościami są produkowane przez firmę urządzenia Smart-UPS.
Według szacunków, w oparciu o miejsce użytkowania urządzeń i fakt, że około 20 milionów z nich jest w użyciu, aktywne wykorzystywanie luk w zabezpieczeniach przez cyberprzestępców może doprowadzić do poważnych uszkodzeń zarówno systemów sieciowych, jak i infrastruktury w świecie rzeczywistym. Wykryte luki umożliwiają potencjalnym atakującym wykorzystanie urządzeń UPS w celu uzyskania nieautoryzowanego dostępu do sieci i eksfiltracji danych, a także spowodowania zakłóceń w świadczeniu usług poprzez odcięcie zasilania.
Luki pozwalają na ewentualne RCE
Dwie z trzech wszystkich wykrytych luk obejmują manipulowanie mechanizmem obsługi błędów w programie Transport Layer Security, ingerując w etapy, w których urządzenia łączą się z chmurą. Pierwsze dwie wady, zakodowane jako CVE-2022-22805 i CVE-2022-22806, mają wskaźnik ważności równy 9. Obejmują one błąd przepełnienia bufora, który może pozwolić na zdalne wykonanie kodu na urządzeniu i obejście uwierzytelniania. Obejście może również pozwolić na RCE na docelowym urządzeniu.
Błędy są wywoływane przez to, co infosec nazywa „zero-click” – nieuwierzytelnione pakiety wysyłane przez sieć bez jakiejkolwiek interakcji lub interwencji ze strony użytkownika.
Ostateczna podatność jest zarejestrowana jako CVE-2022-0715 i stanowi lukę, która pozwala na stosowanie aktualizacji oprogramowania, które nie zostały opatrzone bezpiecznymi podpisami kryptograficznymi.
W związku z trwającą na Ukrainie wojną i eskalacją napięć między Rosją a Zachodem, należy pilnie zająć się podobnymi wadami, które mogą mieć wpływ na ważne usługi, obiekty i infrastrukturę krytyczną.
