Veröffentlicht am

Kurzfassung des Herausgebers: An der Cybersicherheitsfront ist eine aktive Verteidigung der traditionelle Weg, der das Eindringen und Angriffe mit so viel Intelligenz und Technologien wie das Arsenal eines typischen CISO blockiert. In einer zunehmend komplexen Welt gibt es jedoch auch viele nicht verwaltete und IoT-Geräte, die in einigen Cybersicherheitsinfrastrukturen durch die Risse fallen können. Für IoT- und nicht verwaltete Geräte gibt es eine Möglichkeit, Bedrohungen zu identifizieren und diese anfälligen Geräte sogar unter Quarantäne zu stellen, um nicht nur Eindringlinge zu verhindern, sondern vielleicht sogar den Benutzern und dem Ökosystem Sicherheit zu bieten. Armis, ein wichtiger Konkurrent im Bereich der Anlagen- und Gerätesicherheit, hat kürzlich angekündigt, eng mit Schneider Electric zusammenzuarbeiten, um die „TLStorm“-Schwachstelle für einige USV-Geräte (unterbrechungsfreie Stromversorgung) zu identifizieren und zu schließen. Die Freigabe des Anbieters ist unten.

Armis findet drei kritische Zero-Day-Schwachstellen in APC Smart-UPS-Geräten, die als „TLStorm“ bezeichnet werden und mehr als 20 Millionen Unternehmensgeräte offenlegen

Schwachstellen, die in weit verbreiteten unterbrechungsfreien Stromversorgungen gefunden wurden, könnten es Angreifern ermöglichen, Sicherheitsfunktionen zu umgehen und kritische Industrie-, Medizin- und Unternehmensgeräte aus der Ferne zu übernehmen oder zu beschädigen

SINGAPUR, @mcgallen #microwireinfo, 9. März 2022 - Armis, der führende Anbieter von Unified Asset Visibility and Security, gab heute die Entdeckung von drei Zero-Day-Schwachstellen in APC Smart-UPS-Geräten bekannt, die Angreifern den Fernzugriff ermöglichen können. Wenn sie ausgenutzt werden, können diese Schwachstellen, die zusammenfassend als TLSturm, ermöglichen es Angreifern, APC Smart-UPS-Geräte und angeschlossene Assets zu deaktivieren, zu stören und zu zerstören.

Geräte zur unterbrechungsfreien Stromversorgung (USV) bieten Notstromversorgung für geschäftskritische Anlagen in Rechenzentren, Industrieanlagen, Krankenhäusern und mehr. APC ist eine Tochtergesellschaft von Schneider Electric und einer der führenden Anbieter von USV-Geräten mit weltweit über 20 Millionen verkauften Geräten.

„Bis vor kurzem wurden Vermögenswerte wie USV-Geräte nicht als Sicherheitsrisiken wahrgenommen. Es ist jedoch klar geworden, dass Sicherheitsmechanismen in fernverwalteten Geräten nicht ordnungsgemäß implementiert wurden, was bedeutet, dass böswillige Akteure in der Lage sein werden, diese anfälligen Assets als Angriffsvektor zu verwenden“, sagte Barak Hadad, Forschungsleiter, Armis. „Es ist von entscheidender Bedeutung, dass Sicherheitsexperten einen vollständigen Überblick über alle Assets haben und ihr Verhalten überwachen können, um Ausnutzungsversuche von Schwachstellen wie TLStorm zu identifizieren.“

Unternehmensrisiko

Armis recherchiert und analysiert verschiedene Assets, um Sicherheitsverantwortlichen dabei zu helfen, ihre Organisationen vor neuen Bedrohungen zu schützen. Für diese Studie untersuchte Armis APC Smart-UPS-Geräte und ihre Fernverwaltungs- und Überwachungsdienste aufgrund der weit verbreiteten Verwendung von APC-USV-Geräten in den Umgebungen unserer Kunden. Die neuesten Modelle verwenden eine Cloud-Verbindung für die Fernverwaltung. Armis-Forscher fanden heraus, dass ein Angreifer, der die TLStorm-Schwachstellen ausnutzt, Geräte über das Internet ohne Benutzerinteraktion oder Anzeichen eines Angriffs aus der Ferne übernehmen könnte.

Zu den entdeckten Schwachstellen gehören zwei kritische Schwachstellen in der TLS-Implementierung, die von mit der Cloud verbundenen Smart-UPS-Geräten verwendet wird, und eine dritte Schwachstelle mit hohem Schweregrad, ein Designfehler, bei dem Firmware-Upgrades der meisten Smart-UPS-Geräte nicht korrekt signiert oder validiert werden.

Zwei der Schwachstellen betreffen die TLS-Verbindung zwischen der USV und der Cloud von Schneider Electric. Geräte, die die SmartConnect-Funktion unterstützen, stellen automatisch eine TLS-Verbindung her, wenn sie gestartet werden oder wenn Cloud-Verbindungen vorübergehend unterbrochen werden. Angreifer können die Schwachstellen über nicht authentifizierte Netzwerkpakete ohne Benutzerinteraktion auslösen.

  • CVE-2022-22805 – (CVSS 9.0) TLS-Pufferüberlauf: Ein Speicherbeschädigungsfehler beim Paketzusammenbau (RCE).
  • CVE-2022-22806 – (CVSS 9.0) TLS-Authentifizierungsumgehung: Eine Zustandsverwirrung im TLS-Handshake führt zu einer Authentifizierungsumgehung, was zu einer Remote-Code-Ausführung (RCE) unter Verwendung eines Netzwerk-Firmware-Upgrades führt.

Die dritte Schwachstelle ist ein Designfehler, bei dem die Firmware-Updates auf betroffenen Geräten nicht auf sichere Weise kryptografisch signiert werden. Infolgedessen könnte ein Angreifer bösartige Firmware erstellen und diese über verschiedene Pfade installieren, darunter das Internet, LAN oder einen USB-Stick. Diese modifizierte Firmware könnte es Angreifern ermöglichen, eine dauerhafte Persistenz auf solchen USV-Geräten aufzubauen, die als Hochburg innerhalb des Netzwerks verwendet werden kann, um weitere Angriffe zu starten.

  • CVE-2022-0715 – (CVSS 8.9) Unsigniertes Firmware-Upgrade, das über das Netzwerk (RCE) aktualisiert werden kann.

Der Missbrauch von Fehlern in Firmware-Upgrade-Mechanismen wird zu einer Standardpraxis von APTs, wie kürzlich in der Analyse der Cyclops Blink-Malware detailliert beschrieben wurde, und das unsachgemäße Signieren von Firmware ist ein wiederkehrender Fehler in verschiedenen eingebetteten Systemen. Zum Beispiel eine frühere Schwachstelle, die von Armis in Swisslog PTS-Systemen entdeckt wurde (PwnedPiper, CVE-2021-37160) resultierte aus einer ähnlichen Art von Fehler.

„TLStorm-Schwachstellen treten in cyber-physischen Systemen auf, die unsere digitale und physische Welt überbrücken, und geben Cyberangriffen die Möglichkeit realer Konsequenzen“, sagte Yevgeny Dibrov, CEO und Mitbegründer von Armis. „Die Armis-Plattform adressiert diese hypervernetzte Realität, in der eine kompromittierte Identität und ein kompromittiertes Gerät die Tür für Cyberangriffe öffnen können und die Sicherheit aller Vermögenswerte zu einer grundlegenden Voraussetzung für den Schutz der Geschäftskontinuität und des Markenrufs geworden ist. Unsere laufende Forschung schützt Unternehmen, indem sie eine 100 % vollständige Transparenz ihrer IT-, Cloud-, IoT-, OT-, IoMT-, 5G- und Edge-Assets bietet.“

Aktualisierungen und Minderungen

Schneider Electric arbeitete in dieser Angelegenheit mit Armis zusammen, und die Kunden wurden benachrichtigt und Patches herausgegeben, um die Schwachstellen zu beheben. Nach bestem Wissen beider Unternehmen gibt es keinen Hinweis darauf, dass die Schwachstellen von TLStorm ausgenutzt wurden.

Organisationen, die APC Smart-UPS-Geräte einsetzen, sollten betroffene Geräte sofort patchen. Weitere Informationen finden Sie in der Sicherheitsempfehlung von Schneider Electric .

Armis-Kunden können APC Smart-UPS-Geräte, die in ihrer Umgebung anfällig sind, sofort identifizieren und mit der Behebung beginnen. Klicken Sie hier, um mit einem Armis-Experten zu sprechen und unsere preisgekrönte agentenlose Gerätesicherheitsplattform zu erleben .

Forschungspräsentationen

Armis-Experten werden die TLStorm-Forschung während der folgenden virtuellen und persönlichen Veranstaltungen diskutieren:

Zusätzliche Ressourcen

Über Armis

Armis ist die führende einheitliche Asset-Transparenz- und Sicherheitsplattform, die entwickelt wurde, um die neue Bedrohungslandschaft anzugehen, die durch vernetzte Geräte entsteht. Fortune-1000-Unternehmen vertrauen unserem Echtzeit- und kontinuierlichen Schutz, um alle verwalteten und nicht verwalteten Assets in IT, Cloud, IoT-Geräten, medizinischen Geräten (IoMT), Betriebstechnologie (OT), industriellen Steuerungssystemen (ICS) und 5G im vollständigen Kontext anzuzeigen. Armis bietet passives und beispielloses Cybersicherheits-Asset-Management, Risikomanagement und automatisierte Durchsetzung. Armis ist ein privat geführtes Unternehmen mit Hauptsitz in Palo Alto, Kalifornien. Besuch www.armis.com.

###