Publicado el

Resumen del editor: En el frente de la seguridad cibernética, tener una defensa activa es el camino tradicional, bloqueando las intrusiones y ataques con tanta inteligencia y tecnologías detrás del arsenal de un CISO típico. Sin embargo, en un mundo cada vez más complejo, también hay muchos dispositivos IoT y no administrados que pueden pasar desapercibidos en algunas infraestructuras de ciberseguridad. Para IoT y dispositivos no administrados, existe una manera de identificar amenazas e incluso poner en cuarentena estos dispositivos vulnerables, para evitar no solo intrusiones, sino quizás incluso brindar seguridad a los usuarios y al ecosistema. Armis, un competidor clave en el espacio de la seguridad de activos y dispositivos, anunció recientemente que trabajará en estrecha colaboración con Schneider Electric para identificar y cerrar la vulnerabilidad "TLStorm" para algunos dispositivos UPS (sistema de alimentación ininterrumpida). El comunicado del proveedor se encuentra a continuación.

Armis encuentra tres vulnerabilidades críticas de día cero en los dispositivos Smart-UPS de APC, denominadas "TLStorm", que exponen más de 20 millones de dispositivos empresariales

Las vulnerabilidades encontradas en los sistemas de alimentación ininterrumpida ampliamente utilizados podrían permitir a los atacantes eludir las funciones de seguridad y tomar el control o dañar de forma remota dispositivos industriales, médicos y empresariales críticos.

SINGAPUR, @mcgallen #microwireinfo, 9 de marzo de 2022 - Armis, el líder en seguridad y visibilidad de activos unificados, anunció hoy el descubrimiento de tres vulnerabilidades de día cero en los dispositivos Smart-UPS de APC que pueden permitir a los atacantes obtener acceso remoto. Si se explotan, estas vulnerabilidades, conocidas colectivamente como TLStormenta, permite que los actores de amenazas deshabiliten, interrumpan y destruyan los dispositivos Smart-UPS de APC y los activos adjuntos.

Los dispositivos de fuente de alimentación ininterrumpida (UPS) brindan energía de respaldo de emergencia para activos de misión crítica en centros de datos, instalaciones industriales, hospitales y más. APC es una subsidiaria de Schneider Electric y es uno de los proveedores líderes de dispositivos UPS, con más de 20 millones de dispositivos vendidos en todo el mundo.

“Hasta hace poco, los activos, como los dispositivos UPS, no se percibían como pasivos de seguridad. Sin embargo, ha quedado claro que los mecanismos de seguridad en los dispositivos administrados de forma remota no se han implementado correctamente, lo que significa que los actores malintencionados podrán utilizar esos activos vulnerables como vector de ataque”, dijo Barak Hadad, Jefe de Investigación de Armis. “Es vital que los profesionales de la seguridad tengan una visibilidad completa de todos los activos, junto con la capacidad de monitorear su comportamiento, para identificar intentos de explotación de vulnerabilidades como TLStorm”.

Exposición al riesgo empresarial

Armis investiga y analiza varios activos para ayudar a los líderes de seguridad a proteger sus organizaciones de nuevas amenazas. Para esta investigación, Armis investigó los dispositivos Smart-UPS de APC y sus servicios de control y administración remotos debido al uso generalizado de los dispositivos UPS de APC en los entornos de nuestros clientes. Los últimos modelos utilizan una conexión a la nube para la gestión remota. Los investigadores de Armis descubrieron que un atacante que explota las vulnerabilidades de TLStorm podría hacerse cargo de forma remota de los dispositivos a través de Internet sin ninguna interacción del usuario ni signos de ataque.

Las vulnerabilidades descubiertas incluyen dos vulnerabilidades críticas en la implementación de TLS utilizada por los dispositivos Smart-UPS conectados a la nube y una tercera vulnerabilidad de alta gravedad, una falla de diseño, en la que las actualizaciones de firmware de la mayoría de los dispositivos Smart-UPS no están firmadas o validadas correctamente.

Dos de las vulnerabilidades involucran la conexión TLS entre el UPS y la nube de Schneider Electric. Los dispositivos que admiten la función SmartConnect establecen automáticamente una conexión TLS al iniciarse o cuando las conexiones a la nube se pierden temporalmente. Los atacantes pueden activar las vulnerabilidades a través de paquetes de red no autenticados sin ninguna interacción del usuario.

  • CVE-2022-22805 – (CVSS 9.0) Desbordamiento de búfer TLS: un error de corrupción de memoria en el reensamblaje de paquetes (RCE).
  • CVE-2022-22806 – (CVSS 9.0) Omisión de autenticación TLS: una confusión de estado en el protocolo de enlace TLS conduce a una omisión de autenticación, lo que lleva a la ejecución remota de código (RCE) mediante una actualización de firmware de red.

La tercera vulnerabilidad es una falla de diseño en la que las actualizaciones de firmware en los dispositivos afectados no están firmadas criptográficamente de manera segura. Como resultado, un atacante podría crear firmware malicioso e instalarlo a través de varias rutas, incluidas Internet, LAN o una memoria USB. Este firmware modificado podría permitir a los atacantes establecer una persistencia duradera en dichos dispositivos UPS que pueden usarse como una fortaleza dentro de la red para lanzar ataques adicionales.

  • CVE-2022-0715 – (CVSS 8.9) Actualización de firmware sin firmar que se puede actualizar a través de la red (RCE).

Abusar de las fallas en los mecanismos de actualización del firmware se está convirtiendo en una práctica estándar de las APT, como se detalló recientemente en el análisis del malware Cyclops Blink, y la firma incorrecta del firmware es una falla recurrente en varios sistemas integrados. Por ejemplo, una vulnerabilidad anterior descubierta por Armis en los sistemas Swisslog PTS (PwnedPiper, CVE-2021-37160) resultó de un tipo similar de defecto.

“Las vulnerabilidades de TLStorm ocurren en los sistemas ciberfísicos que unen nuestros mundos digital y físico, lo que brinda a los ataques cibernéticos la posibilidad de tener consecuencias en el mundo real”, dijo Yevgeny Dibrov, director ejecutivo y cofundador de Armis. “La plataforma Armis aborda esta realidad hiperconectada, donde una identidad y un dispositivo comprometidos pueden abrir la puerta a ataques cibernéticos, y la seguridad de cada activo se ha vuelto fundamental para proteger la continuidad del negocio y la reputación de la marca. Nuestra investigación en curso protege a las organizaciones al proporcionar una visibilidad 100 % completa de sus activos de TI, nube, IoT, OT, IoMT, 5G y edge”.

Actualizaciones y mitigaciones

Schneider Electric trabajó en colaboración con Armis en este asunto, y se notificó a los clientes y se emitieron parches para abordar las vulnerabilidades. Según el conocimiento de ambas empresas, no hay indicios de que se hayan explotado las vulnerabilidades de TLStorm.

Las organizaciones que implementen dispositivos Smart-UPS de APC deben parchear los dispositivos afectados de inmediato. Puede encontrar más información en el aviso de seguridad de Schneider Electric aquí.

Los clientes de Armis pueden identificar de inmediato los dispositivos Smart-UPS de APC que son vulnerables en sus entornos y comenzar la reparación. Para hablar con un experto de Armis y experimentar nuestra galardonada plataforma de seguridad de dispositivos sin agente, haga clic en aquí.

Presentaciones de investigación

Los expertos de Armis discutirán la investigación de TLStorm durante los siguientes eventos virtuales y presenciales:

Recursos adicionales

Sobre Armis

Armis es la plataforma líder de seguridad y visibilidad de activos unificados diseñada para abordar el nuevo panorama de amenazas que crean los dispositivos conectados. Las empresas Fortune 1000 confían en nuestra protección continua y en tiempo real para ver con contexto completo todos los activos administrados y no administrados en TI, la nube, dispositivos IoT, dispositivos médicos (IoMT), tecnología operativa (OT), sistemas de control industrial (ICS) y 5G. Armis proporciona gestión de activos de ciberseguridad pasiva e incomparable, gestión de riesgos y aplicación automatizada. Armis es una empresa privada y tiene su sede en Palo Alto, California. Visitar www.armis.com.

###