Unterbrechungsfreie Stromversorgungen Drei kritische Zero-Day-Lücken in Smart-UPS entdeckt

Das Cybersicherheits-Unternehmen Armis hat drei Zero-Day-Lücken in Smart-UPS-Geräten von APC entdeckt, über die sich Angreifer Fernzugriff verschaffen können. Wenn Angreifer diese Lücken ausnutzen, könnten sie die betroffenen APC-Smart-UPS-Modelle und die damit verbundenen Assets deaktivieren, beeinträchtigen oder zerstören.

Anbieter zum Thema

Die Smart-UPS-Geräte von APC: Das Cybersicherheits-Unternehmen Armis hat drei Zero-Day-Lücken entdeckt, über die sich Angreifer Fernzugriff verschaffen können.
Die Smart-UPS-Geräte von APC: Das Cybersicherheits-Unternehmen Armis hat drei Zero-Day-Lücken entdeckt, über die sich Angreifer Fernzugriff verschaffen können.
(Bild: APC)

Unterbrechungsfreie Stromversorgungen wie die APC-Smart-UPS stellen eine Notstromversorgung für kritische Assets in Rechenzentren, Industrieanlagen, Krankenhäusern und anderen Bereichen sicher. APC ist eine Tochtergesellschaft von Schneider Electric und mit über 20 Millionen verkauften Geräten ein führender USV-Anbieter.

„Bis vor kurzem galten Assets wie USV-Geräte nicht als potenzielle Sicherheitsrisiken. Mittlerweile hat sich jedoch herausgestellt, dass Sicherheitsmechanismen in fernverwalteten Geräten nicht immer ordnungsgemäß implementiert sind und böswillige Akteure solche anfälligen Assets als Angriffsvektor missbrauchen könnten“, erklärt Barak Hadad, Head of Research bei Armis. „Sicherheitsexperten brauchen unbedingt einen vollständigen Überblick über sämtliche Assets und müssen deren Verhalten überwachen können, damit sie Versuche zur Ausnutzung der unter dem Namen TLStorm zusammengefassten Sicherheitslücken erkennen.“

Risiken für Unternehmen

Armis untersucht und analysiert Assets verschiedener Art, um Sicherheitsmanagern zu helfen, ihre Unternehmen vor neuen Bedrohungen zu schützen. Im aktuellen Fall untersuchte Armis Smart-UPS-Geräte von APC und deren Fernverwaltungs- und Monitoring-Dienste, da USV von APC in den Umgebungen der Armis-Kunden vielfach im Einsatz sind. Die neuesten Modelle nutzen zur Fernverwaltung eine Cloud-Verbindung. Wie die Sicherheitsforscher von Armis herausfanden, könnte ein Angreifer, der die TLStorm-Schwachstellen missbraucht, Geräte über das Internet fernsteuern – ganz ohne Benutzerinteraktion oder Anzeichen für einen Angriff.

Entdeckt wurden zwei kritische Sicherheitslücken in der TLS-Implementierung cloudvernetzter Smart-UPS sowie eine dritte schwerwiegende Schwachstelle – ein Designfehler, der bewirkt, dass die Firmware-Upgrades sämtlicher Smart-UPS-Geräte nicht korrekt signiert oder validiert werden.

Zwei der Lücken betreffen die TLS-Verbindung zwischen den USV und der Schneider Electric Cloud. Geräte, die die SmartConnect-Funktion unterstützen, bauen automatisch eine TLS-Verbindung auf, wenn sie gestartet werden oder falls die Cloud-Verbindung vorübergehend unterbrochen war. Angreifer können diese Sicherheitslücken über unauthentifizierte Netzwerkpakete auslösen, ohne dass dazu irgendeine Benutzerinteraktion erforderlich ist.

  • CVE-2022-22805 – (CVSS 9.0) TLS-Pufferüberlauf: Ein Speicherfehler bei der Paketzusammensetzung (RCE).
  • CVE-2022-22806 – (CVSS 9.0) Umgehung der TLS-Authentifizierung: Ein Zustandsfehler beim TLS-Handshake führt dazu, dass die Authentifizierung umgangen wird. Dies ermöglicht Remotecodeausführung (RCE) mithilfe eines Firmware-Upgrades über das Netzwerk.

Bei der dritten Lücke handelt es sich um einen Designfehler, der bewirkt, dass die Firmware-Updates auf den betroffenen Geräten nicht auf sichere Weise kryptografisch signiert werden. Infolgedessen könnte ein Angreifer eine bösartige Firmware erstellen und diese auf verschiedenen Wegen installieren, zum Beispiel über das Internet, ein LAN oder einen USB-Stick. Diese modifizierte Firmware könnte es Angreifern ermöglichen, sich langfristig auf solchen USV-Geräten einzunisten und sie als Bastion im Netzwerk zu nutzen, um von dort aus weitere Angriffe auszuführen.

  • CVE-2022-0715 – (CVSS 8.9) Unsigniertes Firmware-Upgrade, das über das Netzwerk aktualisiert werden kann (RCE).

Barak Hadad: „Sicherheitsexperten brauchen unbedingt einen vollständigen Überblick über sämtliche Assets und müssen deren Verhalten überwachen können, damit sie Versuche zur Ausnutzung von Sicherheitslücken wie TLStorm erkennen.“
Barak Hadad: „Sicherheitsexperten brauchen unbedingt einen vollständigen Überblick über sämtliche Assets und müssen deren Verhalten überwachen können, damit sie Versuche zur Ausnutzung von Sicherheitslücken wie TLStorm erkennen.“
(Bild: Armis)

Dass APTs Schwachstellen in Firmware-Upgrade-Prozessen ausnutzen, wird zunehmend üblich, wie kürzlich in der Analyse der Cyclops Blink-Malware beschrieben. Und dass Firmware nicht ordnungsgemäß signiert wird, ist ein Fehler, der in eingebetteten Systemen immer wieder auftritt. So beruht beispielsweise eine Schwachstelle, die Armis vor kurzem in den Rohrpostsystemen von Swisslog gefunden hatte (PwnedPiper, CVE-2021-37160), auf einem ähnlichen Fehler.

„Die TLStorm-Sicherheitslücken betreffen cyber-physische Systeme, die unsere digitale und unsere physische Welt miteinander verbinden. Deshalb könnten entsprechende Cyberangriffe auch Auswirkungen auf die reale Welt haben“, betont Yevgeny Dibrov, CEO und Mitgründer von Armis. „Die Plattform von Armis wird dieser hypervernetzten Realität gerecht: einer Realität, in der eine einzige kompromittierte Identität und ein einziges kompromittiertes Gerät Cyberangriffen Tür und Tor öffnen können und die Sicherheit jedes einzelnen Assets zu einer Grundvoraussetzung geworden ist, um die Geschäftskontinuität und den Ruf einer Marke zu wahren. Unsere fortlaufenden Forschungen ermöglichen es uns, Unternehmen zu schützen, indem wir ihnen eine hundertprozentige Sicht auf alle ihre IT-, Cloud-, IoT-, OT-, IoMT-, 5G- und Edge-Assets bieten.“

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Updates und Risikominderung

Schneider Electric hat in dieser Angelegenheit mit Armis zusammengearbeitet. Die Kunden wurden verständigt und mit Patches versorgt, die die Schwachstellen beheben. Nach bester Kenntnis der beiden Unternehmen gibt es keine Anzeichen dafür, dass die TLStorm-Schwachstellen ausgenutzt wurden.

Unternehmen, die Smart-UPS von APC einsetzen, sollten die betroffenen Geräte unverzüglich patchen. Weitere Informationen finden Sie in der Sicherheitsempfehlung von Schneider Electric.

Armis-Kunden können anfällige Smart-UPS von APC in ihren Umgebungen sofort identifizieren und Abhilfemaßnahmen einleiten. Wenn Sie mit einem Experten von Armis sprechen und unsere agentenlose Device Security-Plattform kennenlernen möchten, klicken Sie bitte hier.

Präsentation der Forschungsergebnisse

Experten von Armis werden die Forschungsergebnisse zu TLStorm bei den folgenden virtuellen und Präsenz-Events erörtern:

Artikelfiles und Artikellinks

Link: Zu Armis

(ID:48085402)