Três vulnerabilidades descobertas em dispositivos UPS populares

Pesquisadores de segurança descobriram um total de três vulnerabilidades que afetam dispositivos de fornecimento de energia ininterrupta. As três vulnerabilidades são coletivamente chamadas de TLStorm e estão causando preocupação devido ao uso comum de dispositivos UPS semelhantes em infraestrutura crítica.

Cerca de 20 milhões de dispositivos afetados

As vulnerabilidades foram descobertas pela primeira vez por uma equipe de pesquisa da Aramis Research. As falhas foram descobertas em dispositivos UPS produzidos pela APC, uma subsidiária da Schneider Electric. As unidades afetadas pelas vulnerabilidades são os dispositivos Smart-UPS fabricados pela empresa.

De acordo com estimativas, com base em onde os dispositivos são usados e no fato de que cerca de 20 milhões deles estão em uso, se as vulnerabilidades forem exploradas ativamente por agentes de ameaças, isso pode levar a sérios danos aos sistemas de rede e à infraestrutura do mundo real. As falhas descobertas permitem que invasores em potencial usem os dispositivos UPS para obter acesso não autorizado a uma rede e exfiltrar dados, além de causar interrupção nos serviços cortando a energia.

Vulnerabilidades permitem eventual RCE

Duas das três vulnerabilidades totais descobertas envolvem adulterar o mecanismo de tratamento de erros do Transport Layer Security, intervindo nas etapas em que os dispositivos se conectam à nuvem. As duas primeiras falhas, codificadas como CVE-2022-22805 e CVE-2022-22806, ambas têm classificações de gravidade 9. Elas incluem um bug de estouro de buffer que pode permitir a execução remota de código no dispositivo e um desvio de autenticação. O desvio também pode permitir RCE no dispositivo de destino.

Os bugs são acionados através do que a infosec chama de "zero-click" - pacotes não autenticados enviados pela rede sem qualquer tipo de interação ou intervenção por parte de um usuário.

A vulnerabilidade final é registrada como CVE-2022-0715 e constitui uma falha que permite aplicar atualizações de firmware que não receberam assinaturas criptográficas seguras.

Na esteira da guerra em curso na Ucrânia e da escalada das tensões entre a Rússia e o Ocidente, falhas semelhantes que têm o potencial de impactar importantes serviços, instalações e infraestrutura crítica precisam ser tratadas com urgência.