數(shù)據(jù)中心備用電源 (UPS) 設備曝3個嚴重漏洞:可遠程接管
Armis公司研究人員在APC Smart-UPS設備中發(fā)現(xiàn)了一組三個關(guān)鍵的零日漏洞����,這些漏洞可讓遠程攻擊者接管 Smart-UPS設備并對物理設備和 IT 資產(chǎn)進行極端攻擊。不間斷電源 (UPS)設備為關(guān)鍵任務資產(chǎn)提供應急備用電源��,可在數(shù)據(jù)中心��、工業(yè)設施���、醫(yī)院等場所找到���。APC是施耐德電氣的子公司,是UPS設備的領(lǐng)先供應商之一�����,在全球銷售了超過2000萬臺設備����。如果被利用,這些被稱為TLStorm的漏洞允許完全遠程接管Smart-UPS設備并能夠進行極端的網(wǎng)絡物理攻擊���。根據(jù)Armis的數(shù)據(jù)�,近10家公司中有8家暴露于TLSstorm漏洞����。
一��、TLSstorm漏洞概述
這組發(fā)現(xiàn)的漏洞包括云連接Smart-UPS設備使用的TLS實施中的兩個嚴重漏洞�����,以及第三個嚴重漏洞,即設計缺陷����,其中所有Smart-UPS設備的固件升級都沒有正確簽名和驗證。其中兩個漏洞涉及UPS和施耐德電氣云之間的TLS連接�����。支持SmartConnect功能的設備會在啟動時或云連接暫時丟失時自動建立TLS連接����。
CVE-2022-22806:TLS 身份驗證繞過:TLS 握手中的狀態(tài)混淆導致身份驗證繞過,導致使用網(wǎng)絡固件升級進行遠程代碼執(zhí)行 (RCE)����。
CVE-2022-22805:TLS 緩沖區(qū)溢出:數(shù)據(jù)包重組 (RCE) 中的內(nèi)存損壞錯誤。
這兩個漏洞可以通過未經(jīng)身份驗證的網(wǎng)絡數(shù)據(jù)包觸發(fā)����,無需任何用戶交互(ZeroClick 攻擊)��。
CVE-2022-0715:可通過網(wǎng)絡更新的未簽名固件升級 (RCE)���。
第三個漏洞是設計缺陷���,受影響設備上的固件更新未以安全方式進行加密簽名�����。這意味著攻擊者可以制作惡意固件并使用各種路徑(包括Internet���、LAN或USB驅(qū)動器)進行安裝。這可以讓攻擊者在此類 UPS設備上建立持久的持久性���,這些設備可以用作網(wǎng)絡中的據(jù)點��,可以從中進行額外的攻擊�。
濫用固件升級機制中的缺陷正在成為APT的標準做法�,正如最近在對Cyclops Blink惡意軟件的分析中所詳述的那樣�����,嵌入式設備固件的不當簽名是各種嵌入式系統(tǒng)中反復出現(xiàn)的缺陷��。Armis之前在Swisslog PTS系統(tǒng)中發(fā)現(xiàn)的漏洞( PwnedPiper , CVE-2021-37160) 是類似漏洞的結(jié)果�����。
Armis已于2021年10月31日向施耐德電氣披露了這些漏洞�。此后,Armis與施耐德電氣合作創(chuàng)建并測試了一個補丁�,該補丁現(xiàn)已普遍可用��。
在當?shù)貢r間3月8日發(fā)布的安全公告中����,施耐德電氣表示�,這些漏洞被歸類為“嚴重”和“高嚴重性”,影響 SMT���、SMC�、SCL��、SMX�、SRT和SMTL系列產(chǎn)品。該公司已開始發(fā)布包含針對這些漏洞的補丁的固件更新�����。對于沒有固件補丁的產(chǎn)品���,施耐德提供了一系列緩解措施來降低被利用的風險�����。
二�����、受影響的設備型號列表
SmartConnect 系列
產(chǎn)品 | 受影響的版本 | CVE |
SMT系列 | SMT 系列 ID=1015:UPS 04.5 及之前版本 | CVE-2022-22805
CVE-2022-22806
CVE-2022-0715 |
SMC系列 | SMC 系列 ID=1018:UPS 04.2 及更早版本 | CVE-2022-22805
CVE-2022-22806
CVE-2022-0715 |
SMTL系列 | SMTL 系列 ID=1026:UPS 02.9 及之前版本 | CVE-2022-22805
CVE-2022-22806
CVE-2022-0715 |
SCL系列 | SCL 系列 ID=1029:UPS 02.5 及之前版本 SCL 系列 ID=1030:UPS 02.5 及之前版本
SCL 系列 ID=1036:UPS 02.5 及之前版本
SCL 系列 ID=1037:UPS 03.1 及之前版本 | CVE-2022-22805
CVE-2022-22806
CVE-2022-0715 |
SMX 系列 | SMX 系列 ID=1031:UPS 03.1 及更早版本 | CVE-2022-22805
CVE-2022-22806
CVE-2022-0715 |
Smart-UPS 系列
產(chǎn)品 | 受影響的版本 | CVE |
SMT系列 | SMT 系列 ID=18:UPS 09.8 和之前
SMT 系列 ID=1040:UPS 01.2 和之前
SMT 系列 ID=1031:UPS 03.1 和之前 | CVE-2022-0715 |
SMC系列 | SMC 系列 ID=1005:UPS 14.1 和之前
SMC 系列 ID=1007:UPS 11.0 和之前
SMC 系列 ID=1041:UPS 01.1 和之前 | CVE-2022-0715 |
SCL系列 | SCL 系列 ID=1030:UPS 02.5和之前
SCL 系列 ID=1036:UPS 02.5和之前 | CVE-2022-0715 |
SMX 系列 | SMX 系列 ID=20:UPS 10.2和之前
SMX 系列 ID=23:UPS 07.0和之前 | CVE-2022-0715 |
SRT系列 | SRT 系列 ID=1010/1019/1025:UPS 08.3和之前
SRT 系列 ID=1024:UPS 01.0和之前
SRT 系列 ID=1020:UPS 10.4和之前
SRT 系列 ID=1021:UPS 12.2和之前
SRT 系列 ID=1001/ 1013:UPS 05.1和更早版本 SRT 系列 ID=1002/1014:UPSa05.2和更早版本 | CVE-2022-0715 |
三�、風險及影響
UPS設備調(diào)節(jié)高壓電源的事實,加上它們的互聯(lián)網(wǎng)連接���,使它們成為高價值的網(wǎng)絡物理目標���。在電視劇《機器人先生》中,不良行為者使用APC UPS設備引發(fā)爆炸���。然而��,這不再是虛構(gòu)的攻擊�。通過在實驗室中利用這些漏洞�����,Armis研究人員能夠遠程點燃Smart-UPS設備并使其真正化為烏有���。
由于TLS攻擊向量可以源自Internet,因此這些漏洞可以充當企業(yè)內(nèi)部網(wǎng)絡的網(wǎng)關(guān)。不良行為者可以使用TLS狀態(tài)混淆將自己標識為施耐德電氣云���,并收集有關(guān)公司防火墻后面的 UPS的信息���。然后,他們可以遠程更新UPS 固件����,并將UPS用作勒索軟件攻擊或任何其他類型惡意操作的入口點。
Armis主動研究各種資產(chǎn)�����,以幫助安全領(lǐng)導者保護其組織免受新威脅���,包括針對IT資產(chǎn)和網(wǎng)絡物理系統(tǒng)(CPS)的威脅�。作為這項研究的一部分�,該公司調(diào)查了APC Smart-UPS設備以及它們與各自的遠程管理和監(jiān)控服務進行通信的方式。
攻擊者可以通過互聯(lián)網(wǎng)遠程接管設備
最新的 APC Smart-UPS型號通過云連接進行控制����。Armis 研究人員發(fā)現(xiàn),利用TLStorm漏洞的攻擊者可以通過Internet遠程接管設備����,而無需任何用戶交互或攻擊跡象�。因此�����,攻擊者可以對設備執(zhí)行遠程代碼執(zhí)行(RCE)攻擊�����,進而可以用來改變UPS的操作����,從而對設備本身或與其連接的其他資產(chǎn)造成物理損壞。
俄烏沖突凸顯了TLSstorm的關(guān)鍵性質(zhì)
過去曾發(fā)生過針對電網(wǎng)及其內(nèi)部設備的攻擊���,其中最著名的是2015年發(fā)生的烏克蘭電網(wǎng)攻擊——其中UPS設備(以及許多其他類型的設備)已被遠程黑客入侵����,導致大規(guī)模停電���。近期的俄烏沖突事件引發(fā)了美國官員的擔憂,即美國電網(wǎng)將成為俄羅斯通過網(wǎng)絡攻擊的目標�����。TLSStorm漏洞的發(fā)現(xiàn)突顯了企業(yè)環(huán)境中負責電源可靠性的設備的易變性,并強調(diào)需要采取行動并保護此類設備免受惡意攻擊�。
四、不間斷電源(UPS)使用范圍廣泛
不間斷電源(UPS)設備為關(guān)鍵任務資產(chǎn)提供緊急備用電源��。在電力中斷可能導致傷害��、業(yè)務停機或數(shù)據(jù)丟失的情況下���,UPS設備有助于確保關(guān)鍵技術(shù)的高可用性:服務器機房��、醫(yī)療設施��、OT/ICS環(huán)境�����、住宅�。受TLSstorm漏洞影響的設備按行業(yè)統(tǒng)計��,參見下圖��。
五���、如何保護UPS設備�����?
用戶可以采取一些步驟來最大程度地降低攻擊風險����。Armis 建議使用所有三種緩解措施,而不僅僅是更新設備��。
1.安裝 Schneider Electric網(wǎng)站上提供的修補程序�����。
2.如果您使用NMC���,請更改默認NMC口令(“apc”)并安裝公開簽名的SSL證書����,這樣您網(wǎng)絡上的攻擊者將無法截獲新口令���。要進一步限制NMC的攻擊面�,請參閱Schneider Electric Security Handbook for NMC2和NMC3��。
