Armis公司研究人员在APC Smart-UPS设备中发现了一组三个关键的零日漏洞,这些漏洞可让远程攻击者接管 Smart-UPS设备并对物理设备和 IT 资产进行极端攻击。不间断电源 (UPS)设备为关键任务资产提供应急备用电源,可在数据中心、工业设施、医院等场所找到。APC是施耐德电气的子公司,是UPS设备的领先供应商之一,在全球销售了超过2000万台设备。如果被利用,这些被称为TLStorm的漏洞允许完全远程接管Smart-UPS设备并能够进行极端的网络物理攻击。根据Armis的数据,近10家公司中有8家暴露于TLSstorm漏洞。

 一、TLSstorm漏洞概述

这组发现的漏洞包括云连接Smart-UPS设备使用的TLS实施中的两个严重漏洞,以及第三个严重漏洞,即设计缺陷,其中所有Smart-UPS设备的固件升级都没有正确签名和验证。其中两个漏洞涉及UPS和施耐德电气云之间的TLS连接。支持SmartConnect功能的设备会在启动时或云连接暂时丢失时自动建立TLS连接。

CVE-2022-22806:TLS 身份验证绕过:TLS 握手中的状态混淆导致身份验证绕过,导致使用网络固件升级进行远程代码执行 (RCE)。

CVE-2022-22805:TLS 缓冲区溢出:数据包重组 (RCE) 中的内存损坏错误。

这两个漏洞可以通过未经身份验证的网络数据包触发,无需任何用户交互(ZeroClick 攻击)。

CVE-2022-0715:可通过网络更新的未签名固件升级 (RCE)。

第三个漏洞是设计缺陷,受影响设备上的固件更新未以安全方式进行加密签名。这意味着攻击者可以制作恶意固件并使用各种路径(包括Internet、LAN或USB驱动器)进行安装。这可以让攻击者在此类 UPS设备上建立持久的持久性,这些设备可以用作网络中的据点,可以从中进行额外的攻击。

滥用固件升级机制中的缺陷正在成为APT的标准做法,正如最近在对Cyclops Blink恶意软件的分析中所详述的那样,嵌入式设备固件的不当签名是各种嵌入式系统中反复出现的缺陷。Armis之前在Swisslog PTS系统中发现的漏洞( PwnedPiper , CVE-2021-37160) 是类似漏洞的结果。

Armis已于2021年10月31日向施耐德电气披露了这些漏洞。此后,Armis与施耐德电气合作创建并测试了一个补丁,该补丁现已普遍可用。

在当地时间3月8日发布的安全公告中,施耐德电气表示,这些漏洞被归类为“严重”和“高严重性”,影响 SMT、SMC、SCL、SMX、SRT和SMTL系列产品。该公司已开始发布包含针对这些漏洞的补丁的固件更新。对于没有固件补丁的产品,施耐德提供了一系列缓解措施来降低被利用的风险。

 二、受影响的设备型号列表

SmartConnect 系列

Smart-UPS 系列

 三、风险及影响

UPS设备调节高压电源的事实,加上它们的互联网连接,使它们成为高价值的网络物理目标。在电视剧《机器人先生》中,不良行为者使用APC UPS设备引发爆炸。然而,这不再是虚构的攻击。通过在实验室中利用这些漏洞,Armis研究人员能够远程点燃Smart-UPS设备并使其真正化为乌有。

由于TLS攻击向量可以源自Internet,因此这些漏洞可以充当企业内部网络的网关。不良行为者可以使用TLS状态混淆将自己标识为施耐德电气云,并收集有关公司防火墙后面的 UPS的信息。然后,他们可以远程更新UPS 固件,并将UPS用作勒索软件攻击或任何其他类型恶意操作的入口点。

Armis主动研究各种资产,以帮助安全领导者保护其组织免受新威胁,包括针对IT资产和网络物理系统(CPS)的威胁。作为这项研究的一部分,该公司调查了APC Smart-UPS设备以及它们与各自的远程管理和监控服务进行通信的方式。

攻击者可以通过互联网远程接管设备

最新的 APC Smart-UPS型号通过云连接进行控制。Armis 研究人员发现,利用TLStorm漏洞的攻击者可以通过Internet远程接管设备,而无需任何用户交互或攻击迹象。因此,攻击者可以对设备执行远程代码执行(RCE)攻击,进而可以用来改变UPS的操作,从而对设备本身或与其连接的其他资产造成物理损坏。

俄乌冲突凸显了TLSstorm的关键性质

过去曾发生过针对电网及其内部设备的攻击,其中最著名的是2015年发生的乌克兰电网攻击——其中UPS设备(以及许多其他类型的设备)已被远程黑客入侵,导致大规模停电。近期的俄乌冲突事件引发了美国官员的担忧,即美国电网将成为俄罗斯通过网络攻击的目标。TLSStorm漏洞的发现突显了企业环境中负责电源可靠性的设备的易变性,并强调需要采取行动并保护此类设备免受恶意攻击。

 四、不间断电源(UPS)使用范围广泛

不间断电源(UPS)设备为关键任务资产提供紧急备用电源。在电力中断可能导致伤害、业务停机或数据丢失的情况下,UPS设备有助于确保关键技术的高可用性:服务器机房、医疗设施、OT/ICS环境、住宅。受TLSstorm漏洞影响的设备按行业统计,参见下图。

 五、如何保护UPS设备

用户可以采取一些步骤来最大程度地降低攻击风险。Armis 建议使用所有三种缓解措施,而不仅仅是更新设备。

1.安装 Schneider Electric网站上提供的修补程序。

2.如果您使用NMC,请更改默认NMC口令(“apc”)并安装公开签名的SSL证书,这样您网络上的攻击者将无法截获新口令。要进一步限制NMC的攻击面,请参阅Schneider Electric Security Handbook for NMC2和NMC3。

3.部署访问控制列表(ACL),其中仅允许UPS设备通过加密通信与一小部分管理设备和施耐德电气云进行通信。

与许多其他数字基础设施设备一样,UPS设备经常被安装和遗忘。由于这些设备与核心业务系统连接到相同的内部网络,因此利用尝试可能会产生严重影响。

对于安全专业人员来说,拥有所有资产的完整可见性以及监控其行为的能力以识别异常和/或利用尝试是很重要的。然而,传统的安全解决方案并不涵盖这些资产。因此,它们仍然“看不见”,从而使组织面临重大风险。

资料来源:

1.https://www.armis.com/research/tlstorm/

2.https://www.securityweek.com/millions-apc-smart-ups-devices-can-be-remotely-hacked-damaged

ups 网络攻击 网络安全 漏洞
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接