“Até muito recentemente, ativos, como os dispositivos UPS, não eram vistos como preocupações de segurança. No entanto, ficou claro que os mecanismos de segurança em aparelhos geridos remotamente não têm sido devidamente implementados, o que pode levar a que agentes de ameaça possam utilizar esses ativos vulneráveis como um ponto de ataque”, revelou Barak Hadad, Head of Research da Armis. “É vital que os profissionais de segurança tenham uma visibilidade completa de todos os ativos, tal como a possibilidade de monitorizar o seu comportamento, de forma a identificar tentativas de exploração de vulnerabilidades como a TLStorm”.

Risco de Exposição nas Organizações

A Armis pesquisa e analisa vários ativos, de forma a ajudar os líderes de segurança a proteger as suas organizações de novas ameaças. Para esta investigação, a Armis analisou os dispositivos Smart-UPS da APC e a sua gestão remota e serviços de monitorização, devido ao uso alargado destes dispositivos nos ambientes dos seus clientes. Os últimos modelos utilizaram uma ligação à cloud para gestão remota. Os investigadores da Armis descobriram que um atacante que explore as vulnerabilidades TLStorm pode conseguir o controlo remoto de dispositivos através da Internet, sem qualquer interação por parte do utilizador ou qualquer sinal do ataque.

As ameaças descobertas incluem duas vulnerabilidades críticas na implementação TLS usada por dispositivos Smart-UPS que estão ligados com uma conexão cloud e uma terceira vulnerabilidade muito grave, uma falha de design, em que os upgrades de firmware da maior parte dos dispositivos Smart-UPS não estão corretamente assinados ou validados.

Duas das vulnerabilidades estão envolvidas com a ligação TLS entre a UPS e a cloud da Schneider Electric. Os dispositivos que suportam a funcionalidade SmartConnect estabelecem automaticamente uma ligação TLS durante o arranque ou sempre que as ligações da cloud se perdem temporariamente. Os atacantes podem explorar estas vulnerabilidades através de pacotes de rede não autenticados, onde não existe qualquer interação do utilizador.

• CVE-2022-22805 - (CVSS 9.0) Buffer overflow de TLS: Um bug de corrupção de memória na remontagem de pacotes (RCE).
• CVE-2022-22806 - (CVSS 9.0) Desvio de autenticação TLS: Uma confusão de estado no handshake TLS leva a um desvio de autenticação, provocando a execução de código remoto (ERC), ao utilizar uma atualização de firmware de rede.

A terceira vulnerabilidade é uma falha de conceção em que as atualizações de firmware nos dispositivos afetados não são assinadas criptograficamente de uma forma segura. Como resultado, um atacante poderia criar firmware malicioso e instalá-lo utilizando vários métodos, incluindo a Internet, uma ligação LAN, ou uma unidade USB. Este firmware modificado poderia permitir aos atacantes estabelecer uma persistência duradoura nos dispositivos UPS, que podem depois ser utilizados como um reduto dentro da rede para lançar ataques adicionais.

• CVE-2022-0715 - (CVSS 8.9) Atualização de firmware não assinada que pode ser atualizada através da rede (RCE).

Falhas abusivas nos mecanismos de atualizações de firmware tornaram-se uma prática corrente de APTs (Advanced Persistent Threats ou Ameaças Avançadas Persistentes, em tradução livre), como foi recentemente detalhado na análise do malware Cyclops Blink, e uma assinatura imprópria de firmware é uma falha recorrente em vários sistemas incorporados. Por exemplo, uma antiga vulnerabilidade descoberta pela Armis nos sistemas Swisslog PTS (PwnedPiper, CVE-2021-37160) resultaram num tipo de falha similar.

“As vulnerabilidades TLStorm ocorrem em sistemas cyber-físicos que ligam o mundo digital ao físico, dando aos ciberataques a possibilidade de consequências no mundo real”, revela Yevgeny Dibrov, CEO e co-fundador da Armis. “A plataforma da Armis aborda esta realidade hiper-conectada, onde uma identidade ou dispositivo comprometido pode abrir a porta aos ciberataques, e a segurança de cada ativo tornou-se fundamental para proteger a continuidade do negócio e a reputação da marca. A nossa pesquisa em curso dá segurança às organizações, ao garantir uma visibilidade completa a 100% dos seus ativos de IT, cloud, IoT, OT, IoMT, 5G ou edge”.

Atualizações e Mitigações

A Schneider Electric está a trabalhar em colaboração com a Armis neste assunto, e os clientes estão a ser notificados e estão a ser desenvolvidos patches para corrigir estas vulnerabilidades. No conhecimento das duas empresas, não existe indicação que estas vulnerabilidades TLStorm tenham sido exploradas.

As organizações que implantem dispositivos Smart-UPS da APC devem aplicar as patches de atualização nos dispositivos impactados imediatamente. Mais informação pode ser encontrada no aconselhamento da segurança da Schneider Electric, presente aqui.

Os clientes da Armis podem identificar imediatamente os dispositivos Smart-UPS da APC que estão vulneráveis no seu ambiente e começar a corrigir o problema. Para falar com um especialista Armis e experimentar a nossa plataforma premiada de segurança de aparelhos sem agente, pode clicar aqui.