TLStorm: 3 kritische 0-day-Schwachstellen gefährden Smart-UPS von APC

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Anbieter Armis hat gleich drei kritische Zero-Day-Lücken in Smart-UPS von APC entdeckt. Die als TLStorm bezeichneten Schwachstellen gefährden mehr als 20 Millionen Unternehmensgeräte, die an (intelligenten) unterbrechungsfreien Stromversorgungen des Herstellers APC hängen. Die Schwachstellen in der Cloud-Anbindung in den weitverbreiteten unterbrechungsfreien SMAT-UPS Stromversorgungen dieses Anbieters könnten Angreifer befähigen, Sicherheitsmaßnahmen zu umgehen und kritische industrielle, medizinische und Unternehmensgeräte per Fernzugriff zu übernehmen oder zu beschädigen.


Anzeige

APC Smart-UPS

Unterbrechungsfreie Stromversorgungen (USV, engl. UPS)) wie die APC Smart-UPS gewährleisten eine Notstromversorgung für kritische Komponenten (Assets) in Rechenzentren, Industrieanlagen, Krankenhäusern und anderen Bereichen. APC ist eine Tochtergesellschaft von Schneider Electric und mit über 20 Millionen verkauften Geräten weltweit einer der führenden USV-Anbieter. Im Beitrag geht es um sogenannte Smart-UPS-Modelle dieses Herstellers, die in der Cloud hängen.

3 Schwachstellen in APC Smart-UPS

Armis (Anbieter einer Plattform für Asset Visibility und Sicherheit) hat drei Zero-Day-Lücken in Smart-UPS-Geräten von APC entdeckt und diese nun öffentlich gemacht. Über diese Schwachstellen (z.B. in der TLS-Kommunikation mit der Cloud) können sich Angreifer Fernzugriff verschaffen. Nutzen Angreifer diese unter dem Namen TLStorm zusammengefassten Schwachstellen aus, könnten sie die betroffenen APC Smart-UPS-Modelle und die damit verbundenen Geräte deaktivieren, beeinträchtigen oder zerstören.

"Bis vor kurzem galten Assets wie USV-Geräte nicht als potenzielle Sicherheitsrisiken. Mittlerweile hat sich jedoch herausgestellt, dass Sicherheitsmechanismen in fernverwalteten Geräten nicht immer ordnungsgemäß implementiert sind und böswillige Akteure solche anfälligen Assets als Angriffsvektor missbrauchen könnten", erklärt Barak Hadad, Head of Research bei Armis. "Sicherheitsexperten brauchen unbedingt einen vollständigen Überblick über sämtliche Assets und müssen deren Verhalten überwachen können, damit sie Versuche zur Ausnutzung von Sicherheitslücken wie TLStorm erkennen."

Risiken für Unternehmen

Armis untersucht und analysiert Assets verschiedener Art, um Sicherheitsmanagern zu helfen, ihre Unternehmen vor neuen Bedrohungen zu schützen. Im aktuellen Fall untersuchte Armis Smart-UPS-Geräte von APC und deren Fernverwaltungs- und Monitoring-Dienste, da USV diesen Typs von APC in den Umgebungen der Armis-Kunden vielfach im Einsatz sind.

Die neuesten Modelle nutzen zur Fernverwaltung eine Cloud-Verbindung. Wie die Sicherheitsforscher von Armis herausfanden, könnte ein Angreifer, der die TLStorm-Schwachstellen missbraucht, Geräte über das Internet fernsteuern – ganz ohne Benutzerinteraktion oder Anzeichen für einen Angriff.

Entdeckt wurden zwei kritische Sicherheitslücken in der TLS-Implementierung cloudvernetzter Smart-UPS sowie eine dritte schwerwiegende Schwachstelle – ein Designfehler, der bewirkt, dass die Firmware-Upgrades sämtlicher Smart-UPS-Geräte von APC nicht korrekt signiert oder validiert werden.

Schwachstellen in der TLS-Verbindung

Zwei der Lücken betreffen die TLS-Verbindung zwischen den USV und der Schneider Electric Cloud. Geräte, die die SmartConnect-Funktion unterstützen, bauen automatisch eine TLS-Verbindung auf, wenn sie gestartet werden oder falls die Cloud-Verbindung vorübergehend unterbrochen war. Angreifer können diese Sicherheitslücken über unauthentifizierte Netzwerkpakete auslösen, ohne dass dazu irgendeine Benutzerinteraktion erforderlich ist.

  • CVE-2022-22805 – (CVSS 9.0) TLS-Pufferüberlauf: Ein Speicherfehler bei der Paketzusammensetzung (RCE).
  • CVE-2022-22806 – (CVSS 9.0) Umgehung der TLS-Authentifizierung: Ein Zustandsfehler beim TLS-Handshake führt dazu, dass die Authentifizierung umgangen wird.

Diese zweite Schwachstelle ermöglicht eine Remotecodeausführung (RCE) mithilfe eines Firmware-Upgrades über das Netzwerk.


Anzeige

Dritte Lücke als Design-Schwachstelle

Bei der dritten Lücke handelt es sich um einen Designfehler, der bewirkt, dass die Firmware-Updates auf den betroffenen Geräten nicht auf sichere Weise kryptografisch signiert werden.

  • CVE-2022-0715 – (CVSS 8.9) Unsigniertes Firmware-Upgrade, das über das Netzwerk aktualisiert werden kann (RCE).

Infolgedessen könnte ein Angreifer eine bösartige Firmware erstellen und diese auf verschiedenen Wegen installieren, zum Beispiel über das Internet, ein LAN oder einen USB-Stick. Diese modifizierte Firmware könnte es Angreifern ermöglichen, sich langfristig auf solchen USV-Geräten einzunisten und sie als Bastion im Netzwerk zu nutzen, um von dort aus weitere Angriffe auszuführen.

Angriffe über Upgrades gängige Praxis

Dass Angreifer (APTs) Schwachstellen in Firmware-Upgrade-Prozessen ausnutzen, wird zunehmend üblich, wie kürzlich in der Analyse der Cyclops Blink-Malware beschrieben (siehe Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls). Und dass Firmware nicht ordnungsgemäß signiert wird, ist ein Fehler, der in eingebetteten Systemen immer wieder auftritt. So beruht beispielsweise eine Schwachstelle, die Armis vor kurzem in den Rohrpostsystemen von Swisslog gefunden hatte (PwnedPiper, CVE-2021-37160), auf einem ähnlichen Fehler (siehe auch Schwachstellen in Swisslogic Healthcare Rohrpost-Software).

Updates und Risikominderung

Schneider Electric hat in dieser Angelegenheit mit Armis zusammengearbeitet. Die Kunden wurden verständigt und mit Patches, die die Schwachstellen beheben, versorgt. Nach bisheriger Kenntnis der beiden Unternehmen gibt es keine Anzeichen dafür, dass die TLStorm-Schwachstellen ausgenutzt wurden.

Unternehmen, die Smart-UPS von APC einsetzen, sollten die betroffenen Geräte unverzüglich patchen. Weitere Informationen finden Sie in der Sicherheitsempfehlung von Schneider Electric unter diesem Link. Armis bietet natürlich eine passende agentenlose Device Security-Plattform an, die entsprechend anfällige Smart-UPS von APC erkennen kann. Weitere Details lassen sich in diesem Blog-Beitrag nachlesen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu TLStorm: 3 kritische 0-day-Schwachstellen gefährden Smart-UPS von APC

  1. JohnRipper sagt:

    Und so patched man sich durchs Leben.

    Was ein Elend.

  2. Blackii sagt:

    Moin,

    da fehlen wir paar abgesicherte oder betroffene Versionen im Text :D
    Für unsere USVs gibt es kein neues Update :3

    MfG,
    Blackii

Schreibe einen Kommentar zu JohnRipper Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.