опубликовано

Краткий обзор редактора: в области кибербезопасности активная защита является традиционным путем, блокируя вторжения и атаки с использованием такого же количества интеллекта и технологий, что и арсенал типичного директора по информационной безопасности. Однако во все более сложном мире также есть много неуправляемых устройств и устройств IoT, которые могут не работать в некоторых инфраструктурах кибербезопасности. Для IoT и неуправляемых устройств существует способ выявления угроз и даже помещения этих уязвимых устройств в карантин, чтобы предотвратить не только вторжения, но, возможно, даже обеспечить безопасность пользователей и экосистемы. Армис, ключевой претендент в области безопасности активов и устройств, недавно объявил о тесном сотрудничестве с Schneider Electric для выявления и устранения уязвимости «TLStorm» для некоторых устройств ИБП (источники бесперебойного питания). Релиз производителя ниже.

Армис обнаружил три критические уязвимости нулевого дня в устройствах APC Smart-UPS, получившие название «TLStorm», подвергающие риску более 20 миллионов корпоративных устройств

Уязвимости, обнаруженные в широко используемых источниках бесперебойного питания, могут позволить злоумышленникам обойти функции безопасности и удаленно захватить или повредить важные промышленные, медицинские и корпоративные устройства.

СИНГАПУР, @mcgallen #microwireinfo, 9 марта 2022 г. - Armis, лидер в области унифицированного мониторинга и безопасности активов, объявила сегодня об обнаружении трех уязвимостей нулевого дня в устройствах APC Smart-UPS, которые могут позволить злоумышленникам получить удаленный доступ. В случае эксплуатации эти уязвимости, известные под общим названием TLStorm, позволяйте злоумышленникам отключать, нарушать работу и уничтожать устройства APC Smart-UPS и подключенные к ним активы.

Источники бесперебойного питания (ИБП) обеспечивают аварийное резервное питание для критически важных активов в центрах обработки данных, промышленных объектах, больницах и т. д. APC является дочерней компанией Schneider Electric и является одним из ведущих поставщиков ИБП: по всему миру продано более 20 миллионов устройств.

«До недавнего времени активы, такие как устройства бесперебойного питания, не воспринимались как обязательства по обеспечению безопасности. Однако стало ясно, что механизмы безопасности в удаленно управляемых устройствах не реализованы должным образом, а это означает, что злоумышленники смогут использовать эти уязвимые активы в качестве вектора атаки», — сказал Барак Хадад, руководитель отдела исследований компании Armis. «Очень важно, чтобы специалисты по безопасности имели полную видимость всех активов, а также возможность отслеживать их поведение, чтобы выявлять попытки использования уязвимостей, таких как TLStorm».

Подверженность риску предприятия

Армис исследует и анализирует различные активы, чтобы помочь лидерам в области безопасности защитить свои организации от новых угроз. Для этого исследования компания Armis изучила устройства APC Smart-UPS и их службы удаленного управления и мониторинга в связи с широким использованием устройств APC UPS в средах наших клиентов. Последние модели используют облачное соединение для удаленного управления. Исследователи компании Armis обнаружили, что злоумышленник, использующий уязвимости TLStorm, может удаленно захватывать устройства через Интернет без какого-либо взаимодействия с пользователем или признаков атаки.

Обнаруженные уязвимости включают в себя две критические уязвимости в реализации TLS, используемой устройствами Smart-UPS, подключенными к облаку, и третью уязвимость высокого уровня опасности, конструктивную ошибку, из-за которой обновления прошивки большинства устройств Smart-UPS не подписаны или не проверены должным образом.

Две уязвимости связаны с TLS-соединением между ИБП и облаком Schneider Electric. Устройства, поддерживающие функцию SmartConnect, автоматически устанавливают TLS-соединение при запуске или всякий раз, когда облачное соединение временно теряется. Злоумышленники могут активировать уязвимости через неаутентифицированные сетевые пакеты без какого-либо взаимодействия с пользователем.

  • CVE-2022-22805 – (CVSS 9.0) Переполнение буфера TLS: ошибка повреждения памяти при повторной сборке пакетов (RCE).
  • CVE-2022-22806 – (CVSS 9.0) Обход аутентификации TLS: путаница состояний при рукопожатии TLS приводит к обходу аутентификации, что приводит к удаленному выполнению кода (RCE) с использованием обновления микропрограммы сети.

Третья уязвимость — это конструктивный недостаток, из-за которого обновления встроенного ПО на уязвимых устройствах не подписываются безопасным образом криптографически. В результате злоумышленник может создать вредоносную прошивку и установить ее, используя различные пути, включая Интернет, локальную сеть или флэш-накопитель USB. Эта модифицированная прошивка может позволить злоумышленникам установить длительную устойчивость на таких устройствах ИБП, которые можно использовать в качестве оплота в сети для запуска дополнительных атак.

  • CVE-2022-0715 – (CVSS 8.9) Неподписанное обновление прошивки, которое можно обновить по сети (RCE).

Злоупотребление недостатками в механизмах обновления прошивки становится стандартной практикой APT, как это было недавно подробно описано в анализе вредоносного ПО Cyclops Blink, а неправильная подпись прошивки является повторяющейся ошибкой в ​​различных встроенных системах. Например, предыдущая уязвимость, обнаруженная Armis в системах Swisslog PTS (PwnedPiper, CVE-2021-37160) в результате аналогичного типа дефекта.

«Уязвимости TLStorm возникают в киберфизических системах, которые соединяют наш цифровой и физический миры, что дает возможность кибератакам иметь последствия в реальном мире», — сказал Евгений Дибров, генеральный директор и соучредитель Armis. «Платформа Armis направлена ​​на решение этой гиперсвязанной реальности, где одна скомпрометированная личность и устройство могут открыть дверь для кибератак, а безопасность каждого актива стала основой для обеспечения непрерывности бизнеса и репутации бренда. Наши постоянные исследования защищают организации, обеспечивая 100% полную видимость их ИТ, облачных технологий, IoT, OT, IoMT, 5G и периферийных активов».

Обновления и смягчения последствий

Schneider Electric работала над этим вопросом в сотрудничестве с Armis, и клиенты были уведомлены и выпустили исправления для устранения уязвимостей. Насколько известно обеим компаниям, нет никаких признаков того, что уязвимости TLStorm были использованы.

Организации, развертывающие устройства APC Smart-UPS, должны немедленно исправить затронутые устройства. Дополнительную информацию можно найти в бюллетене по безопасности Schneider Electric. анкету и отправьте её по электронной почте: ekaterinaowf@gmail.com..

Клиенты Armis могут немедленно определить уязвимые устройства APC Smart-UPS в своей среде и приступить к их устранению. Чтобы поговорить с экспертом Armis и познакомиться с нашей отмеченной наградами платформой безопасности устройств без агентов, нажмите анкету и отправьте её по электронной почте: ekaterinaowf@gmail.com..

Презентации исследований

Эксперты Armis обсудят исследование TLStorm на следующих виртуальных и очных мероприятиях:

Дополнительные ресурсы

Об Армисе

Armis — это ведущая унифицированная платформа обеспечения видимости и безопасности активов, предназначенная для борьбы с новыми угрозами, создаваемыми подключенными устройствами. Компании из списка Fortune 1000 доверяют нашей непрерывной защите в режиме реального времени, чтобы в полном контексте видеть все управляемые и неуправляемые активы в сфере ИТ, облачных вычислений, устройств IoT, медицинских устройств (IoMT), операционных технологий (OT), промышленных систем управления (ICS) и 5G. Armis обеспечивает пассивное и беспрецедентное управление активами кибербезопасности, управление рисками и автоматизированное обеспечение соблюдения требований. Armis — частная компания со штаб-квартирой в Пало-Альто, Калифорния. Посещать www.armis.com.

###