Đăng trên

Tóm tắt của người biên tập: Trong mặt trận an ninh mạng, có một phương thức phòng thủ tích cực là con đường truyền thống, ngăn chặn các cuộc xâm nhập và tấn công bằng nhiều thông tin tình báo và công nghệ đằng sau sự biến đổi của một CISO điển hình. Tuy nhiên, trong một thế giới ngày càng phức tạp, cũng có nhiều thiết bị IoT và không được quản lý có thể lọt qua các lỗ hổng trong một số cơ sở hạ tầng an ninh mạng. Đối với IoT và các thiết bị không được quản lý, có một cách để xác định các mối đe dọa và thậm chí cách ly các thiết bị dễ bị tấn công này, để ngăn chặn không chỉ sự xâm nhập mà còn có thể cung cấp sự an toàn cho người dùng và hệ sinh thái. Armis, một đối thủ quan trọng trong lĩnh vực bảo mật tài sản và thiết bị, gần đây đã thông báo hợp tác chặt chẽ với Schneider Electric để xác định và đóng lỗ hổng “TLStorm” đối với một số thiết bị UPS (bộ cấp điện liên tục). Dưới đây là bản phát hành của nhà cung cấp.

Armis phát hiện ba lỗ hổng nghiêm trọng trong Zero-Day trong các thiết bị APC Smart-UPS, được mệnh danh là “TLStorm,” để lộ ra hơn 20 triệu thiết bị doanh nghiệp

Các lỗ hổng được tìm thấy trong Nguồn cung cấp điện liên tục được sử dụng rộng rãi có thể cho phép những kẻ tấn công bỏ qua các tính năng bảo mật và chiếm quyền từ xa hoặc làm hỏng các thiết bị công nghiệp, y tế và doanh nghiệp quan trọng

SINGAPORE, @mcgallen #microwirethông tin, ngày 9 tháng 2022 năm XNUMX - cánh tay, công ty hàng đầu về khả năng hiển thị và bảo mật tài sản hợp nhất, hôm nay đã công bố việc phát hiện ra ba lỗ hổng zero-day trong các thiết bị APC Smart-UPS có thể cho phép kẻ tấn công truy cập từ xa. Nếu bị khai thác, những lỗ hổng này, được gọi chung là TLStorm, cho phép các tác nhân đe dọa vô hiệu hóa, làm gián đoạn và phá hủy các thiết bị APC Smart-UPS và các tài sản kèm theo.

Các thiết bị cấp điện liên tục (UPS) cung cấp nguồn điện dự phòng khẩn cấp cho các tài sản quan trọng trong các trung tâm dữ liệu, cơ sở công nghiệp, bệnh viện, v.v. APC là công ty con của Schneider Electric và là một trong những nhà cung cấp thiết bị UPS hàng đầu, với hơn 20 triệu thiết bị được bán trên toàn thế giới.

“Cho đến gần đây, các tài sản, chẳng hạn như thiết bị UPS, không được coi là nghĩa vụ bảo mật. Tuy nhiên, rõ ràng là các cơ chế bảo mật trong các thiết bị được quản lý từ xa đã không được thực hiện đúng cách, có nghĩa là những kẻ độc hại sẽ có thể sử dụng những tài sản dễ bị tấn công đó làm vật trung gian tấn công, ”Barak Hadad, Trưởng bộ phận Nghiên cứu, Armis cho biết. “Điều quan trọng là các chuyên gia bảo mật phải có khả năng hiển thị đầy đủ tất cả các tài sản, cùng với khả năng giám sát hành vi của chúng, để xác định các nỗ lực khai thác các lỗ hổng như TLStorm.”

Rủi ro Doanh nghiệp

Armis nghiên cứu và phân tích các tài sản khác nhau để giúp các nhà lãnh đạo bảo mật bảo vệ tổ chức của họ khỏi các mối đe dọa mới. Đối với nghiên cứu này, Armis đã điều tra các thiết bị APC Smart-UPS và các dịch vụ giám sát và quản lý từ xa của chúng do việc sử dụng rộng rãi các thiết bị APC UPS trong môi trường của khách hàng của chúng tôi. Các mô hình mới nhất sử dụng kết nối đám mây để quản lý từ xa. Các nhà nghiên cứu của Armis phát hiện ra rằng kẻ tấn công khai thác lỗ hổng TLStorm có thể chiếm quyền điều khiển từ xa các thiết bị thông qua Internet mà không có bất kỳ sự tương tác nào của người dùng hoặc có dấu hiệu tấn công.

Các lỗ hổng được phát hiện bao gồm hai lỗ hổng nghiêm trọng trong quá trình triển khai TLS được sử dụng bởi các thiết bị Smart-UPS được kết nối với đám mây và lỗ hổng thứ ba có mức độ nghiêm trọng cao, một lỗ hổng thiết kế, trong đó các bản nâng cấp phần sụn của hầu hết các thiết bị Smart-UPS không được ký hoặc xác thực chính xác.

Hai trong số các lỗ hổng liên quan đến kết nối TLS giữa UPS và đám mây Schneider Electric. Các thiết bị hỗ trợ tính năng SmartConnect sẽ tự động thiết lập kết nối TLS khi khởi động hoặc bất cứ khi nào kết nối đám mây tạm thời bị mất. Những kẻ tấn công có thể kích hoạt các lỗ hổng thông qua các gói mạng chưa được xác thực mà không có bất kỳ sự tương tác nào của người dùng.

  • CVE-2022-22805 - (CVSS 9.0) Tràn bộ đệm TLS: Một lỗi hỏng bộ nhớ trong gói tin được lắp ráp lại (RCE).
  • CVE-2022-22806 - (CVSS 9.0) Bỏ qua xác thực TLS: Sự nhầm lẫn trạng thái trong quá trình bắt tay TLS dẫn đến bỏ qua xác thực, dẫn đến thực thi mã từ xa (RCE) bằng cách sử dụng nâng cấp chương trình cơ sở mạng.

Lỗ hổng thứ ba là một lỗ hổng thiết kế trong đó các bản cập nhật phần sụn trên các thiết bị bị ảnh hưởng không được ký bằng mật mã một cách an toàn. Do đó, kẻ tấn công có thể tạo phần mềm độc hại và cài đặt nó bằng nhiều đường dẫn khác nhau, bao gồm Internet, LAN hoặc ổ USB. Phần sụn được sửa đổi này có thể cho phép những kẻ tấn công thiết lập sự tồn tại lâu dài trên các thiết bị UPS có thể được sử dụng như một thành trì trong mạng để khởi động các cuộc tấn công bổ sung.

  • CVE-2022-0715 - (CVSS 8.9) Nâng cấp chương trình cơ sở chưa được ký có thể được cập nhật qua mạng (RCE).

Việc lạm dụng các lỗi trong cơ chế nâng cấp chương trình cơ sở đang trở thành một thông lệ tiêu chuẩn của APT, như đã được trình bày chi tiết gần đây trong phân tích phần mềm độc hại Cyclops Blink và việc ký không đúng chương trình cơ sở là một lỗ hổng thường xuyên xảy ra trong các hệ thống nhúng khác nhau. Ví dụ, một lỗ hổng bảo mật trước đó được Armis phát hiện trong hệ thống Swisslog PTS (PwnedPiper, CVE-2021-37160) là kết quả của một loại sai sót tương tự.

Yevgeny Dibrov, Giám đốc điều hành và Đồng sáng lập của Armis cho biết: “Các lỗ hổng TLStorm xảy ra trong các hệ thống vật lý mạng làm cầu nối giữa thế giới kỹ thuật số và vật lý của chúng ta, khiến các cuộc tấn công mạng có khả năng gây ra hậu quả trong thế giới thực”. “Nền tảng Armis giải quyết thực tế siêu kết nối này, nơi mà danh tính và thiết bị bị xâm phạm có thể mở ra cánh cửa cho các cuộc tấn công mạng và bảo mật của mọi tài sản đã trở thành nền tảng để bảo vệ tính liên tục của doanh nghiệp và danh tiếng thương hiệu. Nghiên cứu đang diễn ra của chúng tôi đảm bảo an toàn cho các tổ chức bằng cách cung cấp khả năng hiển thị đầy đủ 100% về CNTT, đám mây, IoT, OT, IoMT, 5G và các tài sản cạnh của họ. ”

Cập nhật và giảm thiểu

Schneider Electric đã hợp tác với Armis về vấn đề này và khách hàng đã được thông báo và phát hành các bản vá để giải quyết các lỗ hổng bảo mật. Theo hiểu biết tốt nhất của cả hai công ty, không có dấu hiệu cho thấy lỗ hổng TLStorm đã bị khai thác.

Các tổ chức triển khai các thiết bị APC Smart-UPS nên vá các thiết bị bị ảnh hưởng ngay lập tức. Bạn có thể tìm thêm thông tin trong phần tư vấn bảo mật của Schneider Electric nhấn vào đây..

Khách hàng của Armis có thể xác định ngay các thiết bị APC Smart-UPS dễ bị tấn công trong môi trường của họ và bắt đầu khắc phục. Để nói chuyện với chuyên gia Armis và trải nghiệm nền tảng bảo mật thiết bị không tác nhân từng đoạt giải thưởng của chúng tôi, hãy nhấp vào nhấn vào đây..

Bài thuyết trình nghiên cứu

Các chuyên gia của Armis sẽ thảo luận về nghiên cứu TLStorm trong các sự kiện trực tiếp và ảo sau:

Tài Nguyên Bổ Sung

Về Armis

Armis là nền tảng bảo mật và khả năng hiển thị tài sản hợp nhất hàng đầu được thiết kế để giải quyết mối đe dọa mới mà các thiết bị được kết nối tạo ra. Các công ty trong danh sách Fortune 1000 tin tưởng vào khả năng bảo vệ liên tục và theo thời gian thực của chúng tôi để xem tất cả tài sản được quản lý, không được quản lý trên toàn bộ các thiết bị CNTT, Đám mây, IoT, thiết bị y tế (IoMT), công nghệ hoạt động (OT), hệ thống điều khiển công nghiệp (ICS) và 5G. Armis cung cấp khả năng quản lý tài sản an ninh mạng thụ động và vô song, quản lý rủi ro và thực thi tự động. Armis là một công ty tư nhân và có trụ sở chính tại Palo Alto, California. Chuyến thăm www.armis.com.

# # #