In den Smart-UPS-Geräten von APC wurden drei schwerwiegende Sicherheitslücken entdeckt, die von Angreifern als physische Waffe missbraucht werden könnten, um unbefugt auf die Geräte zuzugreifen und sie zu kontrollieren.
Die unter dem Namen TLStorm bekannt gewordenen Schwachstellen „ermöglichen die vollständige Fernübernahme von Smart-UPS-Geräten und die Durchführung extremer cyber-physischer Angriffe“, so Ben Seri und Barak Hadad, Forscher des IoT-Sicherheitsunternehmens Armis, in einem am Dienstag veröffentlichten Bericht.
Unterbrechungsfreie Stromversorgungen (USV) dienen als Notstromversorgung in unternehmenskritischen Umgebungen wie medizinischen Einrichtungen, Serverräumen und Industrieanlagen. Die meisten der insgesamt über 20 Millionen betroffenen Geräte wurden bisher im Gesundheitswesen, im Einzelhandel, in der Industrie und in Behörden identifiziert.
TLStorm besteht aus drei kritischen Schwachstellen, die über nicht authentifizierte Netzwerkpakete ausgelöst werden können, ohne dass eine Benutzerinteraktion erforderlich ist, d.h. es handelt sich um einen Null-Klick-Angriff.
CVE-2022-22805 (CVSS-Score: 9.0) – TLS-Pufferüberlauf
(CVSS-Score: 9.0) – TLS-Pufferüberlauf CVE-2022-22806 (CVSS-Score: 9.0) – TLS-Authentifizierungsumgehung
(CVSS score: 9.0) – TLS-Authentifizierungsumgehung CVE-2022-0715 (CVSS score: 8.9) – Unsigniertes Firmware-Upgrade, das über das Netzwerk aktualisiert werden kann
Wenn eine der Schwachstellen erfolgreich ausgenutzt wird, könnte dies zu Angriffen auf verwundbare Geräte führen, die wiederum als Waffe eingesetzt werden könnten, um den Betrieb der USV zu manipulieren und das Gerät oder andere daran angeschlossene Anlagen zu beschädigen.
„Mithilfe unserer RCE-Schwachstelle konnten wir den Softwareschutz umgehen und die Stromspitzen so lange laufen lassen, bis sich der Zwischenkreiskondensator auf ca. 150 Grad Celsius erhitzte, was dazu führte, dass der Kondensator platzte und die USV in einer Wolke aus Elektrolytgas zerbarst, was zu Kollateralschäden am Gerät führte“, erklärten die Forscher.
Erschwerend kommt hinzu, dass die Schwachstelle im Firmware-Upgrade-Mechanismus ausgenutzt werden kann, um ein bösartiges Update auf USV-Geräte aufzuspielen, das es den Angreifern ermöglicht, über einen längeren Zeitraum zu bestehen und den kompromittierten Host als Gateway für weitere Angriffe zu nutzen.
„Die Ausnutzung von Schwachstellen in Firmware-Upgrade-Mechanismen wird zu einer Standardpraxis von APTs, wie kürzlich in der Analyse der Cyclops Blink Malware beschrieben wurde, und das unsachgemäße Signieren von Firmwares eingebetteter Geräte ist ein wiederkehrender Fehler in verschiedenen eingebetteten Systemen“, so die Forscher.
Nachdem Schneider Electric am 31. Oktober 2021 über die Schwachstelle informiert wurde, wurden am 8. März 2022 im Rahmen der Patch Tuesday Updates Korrekturen veröffentlicht. Den Kunden wird empfohlen, die bereitgestellten Updates zu installieren, um das Risiko einer erfolgreichen Ausnutzung dieser Schwachstellen zu verringern.
„USV-Geräte werden, wie viele andere Geräte der digitalen Infrastruktur, oft installiert und vergessen“, so die Forscher. „Da diese Geräte mit denselben internen Netzwerken verbunden sind wie die Kernsysteme des Unternehmens, können Ausnutzungsversuche schwerwiegende Folgen haben.“