전원 단자

선도적인 자산 및 장치 보안 회사 Armis는 Schneider Electric과 협력하여 "TLStorm" 취약점을 해결했습니다.

편집자 요약: 사이버 보안 전선에서 적극적인 방어는 일반적인 CISO의 무기고 뒤에 있는 많은 인텔리전스와 기술로 침입과 공격을 차단하는 전통적인 경로입니다. 그러나 점점 더 복잡해지는 세상에서 일부 사이버 보안 인프라의 균열을 통해 떨어질 수 있는 관리되지 않는 IoT 장치도 많이 있습니다. IoT 및 관리되지 않는 장치의 경우 위협을 식별하고 이러한 취약한 장치를 격리하여 침입을 방지할 뿐만 아니라 사용자와 생태계에 안전을 제공할 수도 있습니다. 자산 및 장치 보안 분야의 핵심 경쟁자인 Armis는 최근 슈나이더 일렉트릭과 긴밀히 협력하여 일부 UPS(무정전 전원 공급 장치) 장치에 대한 "TLStorm" 취약성을 식별하고 종료한다고 발표했습니다. 아래에서 더 읽어보세요.

싱가포르아 미스통합 자산 가시성 및 보안의 선두 주자인 는 오늘 APC Smart-UPS 장치에서 공격자가 원격 액세스 권한을 얻을 수 있는 XNUMX가지 제로 데이 취약점을 발견했다고 발표했습니다. 악용되는 경우 이러한 취약점은 집합적으로 다음과 같이 알려져 있습니다. TLS톰, 위협 행위자가 APC Smart-UPS 장치 및 연결된 자산을 비활성화, 중단 및 파괴할 수 있습니다.

무정전 전원 공급 장치(UPS) 장치는 데이터 센터, 산업 시설, 병원 등의 중요 자산에 비상 백업 전원을 제공합니다. APC는 슈나이더 일렉트릭의 자회사이며 전 세계적으로 20천만 대 이상의 장치가 판매되는 UPS 장치의 선두 공급업체 중 하나입니다.

“최근까지 UPS 장치와 같은 자산은 담보 책임으로 인식되지 않았습니다. 그러나 원격으로 관리되는 장치의 보안 메커니즘이 제대로 구현되지 않았음이 분명해졌습니다. 즉, 악의적인 행위자가 이러한 취약한 자산을 공격 벡터로 사용할 수 있습니다.”라고 Armis의 연구 책임자인 Barak Hadad가 말했습니다. "보안 전문가가 TLStorm과 같은 취약점의 악용 시도를 식별하기 위해 행동을 모니터링하는 능력과 함께 모든 자산에 대한 완전한 가시성을 갖는 것이 중요합니다."

기업 위험 노출

Armis는 보안 리더가 새로운 위협으로부터 조직을 보호할 수 있도록 다양한 자산을 연구하고 분석합니다. 이 연구를 위해 Armis는 고객 환경에서 APC UPS 장치가 널리 사용됨에 따라 APC Smart-UPS 장치와 원격 관리 및 모니터링 서비스를 조사했습니다. 최신 모델은 원격 관리를 위해 클라우드 연결을 사용합니다. Armis 연구원은 TLStorm 취약점을 악용하는 공격자가 사용자 상호 작용이나 공격 징후 없이 인터넷을 통해 원격으로 장치를 탈취할 수 있음을 발견했습니다.

발견된 취약점에는 클라우드 연결 Smart-UPS 장치에서 사용하는 TLS 구현의 두 가지 중요한 취약점과 대부분의 Smart-UPS 장치의 펌웨어 업그레이드가 올바르게 서명되거나 검증되지 않은 세 번째 심각도가 높은 취약점인 설계 결함이 포함됩니다.

두 가지 취약점에는 UPS와 슈나이더 일렉트릭 클라우드 간의 TLS 연결이 포함됩니다. SmartConnect 기능을 지원하는 장치는 시작 시 또는 클라우드 연결이 일시적으로 끊길 때마다 자동으로 TLS 연결을 설정합니다. 공격자는 사용자 상호 작용 없이 인증되지 않은 네트워크 패킷을 통해 취약점을 트리거할 수 있습니다.

  • CVE-2022-22805 – (CVSS 9.0) TLS 버퍼 오버플로: 패킷 재조립(RCE)의 메모리 손상 버그.
  • CVE-2022-22806 – (CVSS 9.0) TLS 인증 우회: TLS 핸드셰이크의 상태 혼동은 인증 우회로 이어져 네트워크 펌웨어 업그레이드를 사용한 원격 코드 실행(RCE)으로 이어집니다.

세 번째 취약점은 영향을 받는 장치의 펌웨어 업데이트가 안전한 방식으로 암호화 서명되지 않은 설계 결함입니다. 결과적으로 공격자는 악성 펌웨어를 만들고 인터넷, LAN 또는 USB 썸 드라이브를 포함한 다양한 경로를 사용하여 설치할 수 있습니다. 이 수정된 펌웨어를 통해 공격자는 추가 공격을 시작하기 위해 네트워크 내에서 거점으로 사용할 수 있는 이러한 UPS 장치에 대해 오래 지속되는 지속성을 설정할 수 있습니다.

  • CVE-2022-0715 – (CVSS 8.9) 네트워크(RCE)를 통해 업데이트할 수 있는 서명되지 않은 펌웨어 업그레이드.

최근 Cyclops Blink 악성코드 분석에서 자세히 설명된 바와 같이 펌웨어 업그레이드 메커니즘의 결함 남용은 APT의 표준 관행이 되고 있으며 펌웨어의 부적절한 서명은 다양한 임베디드 시스템에서 반복되는 결함입니다. 예를 들어, Armis가 Swisslog PTS 시스템에서 발견한 이전 취약점(PwnedPiper, CVE-2021-37160) 유사한 유형의 결함으로 인해 발생했습니다.

Armis의 CEO이자 공동 설립자인 Yevgeny Dibrov는 “TLStorm 취약점은 디지털 세계와 물리적 세계를 연결하는 사이버 물리적 시스템에서 발생하여 사이버 공격이 실제 결과를 초래할 수 있습니다. “Armis 플랫폼은 하나의 손상된 ID와 장치가 사이버 공격의 문을 열 수 있고 모든 자산의 보안이 비즈니스 연속성과 브랜드 평판을 보호하는 기초가 되는 초연결 현실을 해결합니다. 우리의 지속적인 연구는 IT, 클라우드, IoT, OT, IoMT, 100G 및 에지 자산에 대한 5% 완전한 가시성을 제공하여 조직을 보호합니다."

업데이트 및 완화

슈나이더 일렉트릭은 이 문제에 대해 Armis와 협력하여 고객에게 통지하고 취약점을 해결하기 위한 패치를 발행했습니다. 두 회사가 아는 한, TLStorm 취약점이 악용되었다는 징후는 없습니다.

APC Smart-UPS 장치를 배포하는 조직은 영향을 받는 장치를 즉시 패치해야 합니다. 자세한 내용은 여기에서 슈나이더 일렉트릭 보안 권고에서 찾을 수 있습니다.

Armis 고객은 환경에 취약한 APC Smart-UPS 장치를 즉시 식별하고 교정을 시작할 수 있습니다. Armis 전문가와 상담하고 수상 경력에 빛나는 에이전트리스 장치 보안 플랫폼을 경험하려면 다음을 클릭하십시오. 여기.

# # #