diposting di

Ringkasan editor: Di bidang keamanan siber, memiliki pertahanan aktif adalah jalur tradisional, memblokir penyusupan dan serangan dengan kecerdasan dan teknologi di balik persenjataan khas CISO. Namun, di dunia yang semakin kompleks, ada juga banyak perangkat yang tidak dikelola dan IoT yang mungkin jatuh melalui celah di beberapa infrastruktur keamanan siber. Untuk IoT dan perangkat yang tidak dikelola, ada cara untuk mengidentifikasi ancaman, dan bahkan mengkarantina perangkat yang rentan ini, untuk mencegah tidak hanya intrusi, tetapi bahkan mungkin memberikan keamanan bagi pengguna dan ekosistem. Armis, pesaing utama di bidang keamanan aset dan perangkat, baru-baru ini mengumumkan bekerja sama dengan Schneider Electric untuk mengidentifikasi dan menutup kerentanan “TLStorm” untuk beberapa perangkat UPS (catu daya tak terputus). Rilis vendor di bawah ini.

Armis Menemukan Tiga Kerentanan Zero-Day Kritis di Perangkat Smart-UPS APC, Dijuluki “TLStorm,” Mengekspos Lebih dari 20 Juta Perangkat Perusahaan

Kerentanan yang ditemukan di Uninterruptible Power Supply yang banyak digunakan dapat memungkinkan penyerang melewati fitur keamanan dan mengambil alih atau merusak perangkat industri, medis, dan perusahaan dari jarak jauh

SINGAPURA, @mcgallen #microwireinfo, 9 Maret 2022 - Armi, pemimpin dalam visibilitas dan keamanan aset terpadu, hari ini mengumumkan penemuan tiga kerentanan zero-day di perangkat APC Smart-UPS yang memungkinkan penyerang mendapatkan akses jarak jauh. Jika dieksploitasi, kerentanan ini, secara kolektif dikenal sebagai Badai TLS, izinkan pelaku ancaman untuk menonaktifkan, mengganggu, dan menghancurkan perangkat APC Smart-UPS dan aset yang terpasang.

Perangkat catu daya tak terputus (UPS) menyediakan daya cadangan darurat untuk aset penting misi di pusat data, fasilitas industri, rumah sakit, dan banyak lagi. APC adalah anak perusahaan Schneider Electric dan merupakan salah satu vendor perangkat UPS terkemuka, dengan lebih dari 20 juta perangkat terjual di seluruh dunia.

“Sampai saat ini, aset, seperti perangkat UPS, tidak dianggap sebagai kewajiban keamanan. Namun, menjadi jelas bahwa mekanisme keamanan di perangkat yang dikelola dari jarak jauh belum diterapkan dengan benar, artinya pelaku kejahatan akan dapat menggunakan aset rentan tersebut sebagai vektor serangan,” kata Barak Hadad, Kepala Riset Armis. “Sangat penting bahwa profesional keamanan memiliki visibilitas lengkap semua aset, bersama dengan kemampuan untuk memantau perilaku mereka, untuk mengidentifikasi upaya eksploitasi kerentanan seperti TLStorm.”

Eksposur Risiko Perusahaan

Armis meneliti dan menganalisis berbagai aset untuk membantu para pemimpin keamanan melindungi organisasi mereka dari ancaman baru. Untuk penelitian ini, Armis menyelidiki perangkat APC Smart-UPS serta layanan manajemen dan pemantauan jarak jauhnya karena meluasnya penggunaan perangkat UPS APC di lingkungan pelanggan kami. Model terbaru menggunakan koneksi cloud untuk manajemen jarak jauh. Peneliti Armis menemukan bahwa penyerang yang mengeksploitasi kerentanan TLStorm dapat mengambil alih perangkat dari jarak jauh melalui Internet tanpa interaksi pengguna atau tanda-tanda serangan.

Kerentanan yang ditemukan mencakup dua kerentanan kritis dalam implementasi TLS yang digunakan oleh perangkat Smart-UPS yang terhubung ke cloud dan kerentanan tingkat tinggi ketiga, cacat desain, di mana peningkatan firmware sebagian besar perangkat Smart-UPS tidak ditandatangani atau divalidasi dengan benar.

Dua kerentanan melibatkan koneksi TLS antara UPS dan cloud Schneider Electric. Perangkat yang mendukung fitur SmartConnect secara otomatis membuat koneksi TLS saat startup atau kapan pun koneksi cloud terputus sementara. Penyerang dapat memicu kerentanan melalui paket jaringan yang tidak diautentikasi tanpa interaksi pengguna.

  • CVE-2022-22805 – (CVSS 9.0) TLS buffer overflow: Bug korupsi memori dalam paket reassembly (RCE).
  • CVE-2022-22806 – (CVSS 9.0) TLS autentikasi bypass: Kebingungan status dalam handshake TLS mengarah ke bypass autentikasi, yang mengarah ke eksekusi kode jarak jauh (RCE) menggunakan pemutakhiran firmware jaringan.

Kerentanan ketiga adalah cacat desain di mana pembaruan firmware pada perangkat yang terpengaruh tidak ditandatangani secara kriptografis dengan cara yang aman. Akibatnya, penyerang dapat membuat firmware berbahaya dan menginstalnya menggunakan berbagai jalur, termasuk Internet, LAN, atau USB thumb drive. Firmware yang dimodifikasi ini dapat memungkinkan penyerang untuk membangun kegigihan yang tahan lama pada perangkat UPS semacam itu yang dapat digunakan sebagai benteng di dalam jaringan untuk meluncurkan serangan tambahan.

  • CVE-2022-0715 – (CVSS 8.9) Upgrade firmware yang tidak ditandatangani yang dapat diperbarui melalui jaringan (RCE).

Menyalahgunakan kelemahan dalam mekanisme peningkatan firmware menjadi praktik standar APT, seperti yang baru-baru ini dirinci dalam analisis malware Cyclops Blink, dan penandatanganan firmware yang tidak tepat merupakan kesalahan berulang di berbagai sistem tertanam. Misalnya, kerentanan sebelumnya ditemukan oleh Armis di sistem Swisslog PTS (PwnedPiper, CVE-2021-37160) dihasilkan dari jenis cacat yang serupa.

“Kerentanan TLStorm terjadi dalam sistem siber-fisik yang menjembatani dunia digital dan fisik kita, memberikan serangan siber kemungkinan konsekuensi di dunia nyata,” kata Yevgeny Dibrov, CEO dan Co-founder Armis. “Platform Armis mengatasi kenyataan yang sangat terhubung ini, di mana satu identitas dan perangkat yang dikompromikan dapat membuka pintu bagi serangan siber, dan keamanan setiap aset telah menjadi dasar untuk melindungi kelangsungan bisnis dan reputasi merek. Penelitian berkelanjutan kami mengamankan organisasi dengan memberikan visibilitas lengkap 100% dari aset TI, cloud, IoT, OT, IoMT, 5G, dan edge mereka.”

Pembaruan dan Mitigasi

Schneider Electric bekerja sama dengan Armis dalam masalah ini, dan pelanggan diberi tahu dan diberikan tambalan untuk mengatasi kerentanan. Sejauh pengetahuan kedua perusahaan, tidak ada indikasi kerentanan TLStorm telah dieksploitasi.

Organisasi yang menerapkan perangkat APC Smart-UPS harus segera menambal perangkat yang terpengaruh. Informasi lebih lanjut dapat ditemukan di penasihat keamanan Schneider Electric .

Pelanggan Armis dapat segera mengidentifikasi perangkat APC Smart-UPS yang rentan di lingkungan mereka dan memulai perbaikan. Untuk berbicara dengan pakar Armis dan mengalami platform keamanan perangkat tanpa agen pemenang penghargaan kami, klik .

Presentasi Penelitian

Pakar Armis akan membahas penelitian TLStorm selama acara virtual dan tatap muka berikut:

Sumber Tambahan

Tentang Armis

Armis adalah platform keamanan dan visibilitas aset terpadu terkemuka yang dirancang untuk mengatasi lanskap ancaman baru yang diciptakan oleh perangkat yang terhubung. Perusahaan Fortune 1000 memercayai perlindungan real-time dan berkelanjutan kami untuk melihat dengan konteks penuh semua aset yang dikelola dan tidak dikelola di seluruh TI, Cloud, perangkat IoT, perangkat medis (IoMT), teknologi operasional (OT), sistem kontrol industri (ICS), dan 5G. Armis menyediakan manajemen aset keamanan siber pasif dan tak tertandingi, manajemen risiko, dan penegakan otomatis. Armis adalah perusahaan swasta dan berkantor pusat di Palo Alto, California. Mengunjungi www.armis.com.

# # #