Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Дом
Aug 15, 2023
Исследователи обнаружили уязвимости в APC Smart
Getty Images/iStockphoto Три недавно обнаруженных уязвимости безопасности представляют серьезную угрозу для устройств резервного питания, включая возможное физическое повреждение. Исследователи из компании по обеспечению безопасности Интернета вещей
Getty Images/iStockphoto
Три недавно обнаруженных уязвимости безопасности представляют серьезную угрозу для устройств резервного питания, включая возможное физическое повреждение.
Исследователи из компании Armis, занимающейся безопасностью Интернета вещей, обнаружили и сообщили о трех уязвимостях безопасности, включенных в список CVE, получивших название TLStorm, которые включают удаленное выполнение кода в блоках источников бесперебойного питания (ИБП), изготовленных APC.
Ошибки перечислены как CVE-2022-22806, CVE-2022-22805 и CVE-2022-0715 и касаются обновлений прошивки, обхода аутентификации и ошибок безопасности при переполнении буфера. Наиболее серьезные из недостатков могут позволить удаленно перехватить управление устройством и потенциально изменить настройки оборудования, что создаст физическую опасность возгорания.
Хотя устройства ИБП, как правило, не имеют доступа к открытому Интернету, устройства Smart-UPS от APC уникально уязвимы, поскольку имеют веб-портал администрирования. По этой причине исследователи Armis утверждают, что ошибки действительно доступны для удаленного использования и могут быть использованы для атак удаленных злоумышленников.
Наиболее серьезной из уязвимостей является CVE-2022-0715, которая позволяет злоумышленнику удаленно распространять обновления прошивки без авторизации. Если злоумышленнику удастся перезаписать прошивку ИБП, он может изменить важные настройки оборудования, что приведет к перегреву устройства. «Иллюстрируя киберфизический эффект атаки TLStorm, исследователи Armis смогли повредить Smart-UPS по сети без взаимодействия с пользователем», — говорится в отчете TLStorm.
Возможно, еще большее беспокойство вызывает возможность злоумышленника использовать взломанный ИБП в качестве плацдарма для получения дальнейшего доступа к сети. Поскольку управление ИБП осуществляется через веб-интерфейс, злоумышленник может манипулировать ИБП, чтобы затем связаться с другими системами в сети.
Барак Хадад, руководитель отдела исследований Armis, сообщил SearchSecurity, что риск будет зависеть от того, как каждая компания настроила свою сеть и от размещения ИБП.
«Поскольку устройства ИБП обычно отвечают за питание критически важных устройств, отключение ИБП также приводит к отключению подключенного к нему устройства, что может иметь серьезные последствия», — пояснил Хадад.
«Кроме того, ИБП часто подключается к той же внутренней сети, что и устройства, которые от него зависят, и злоумышленник может использовать это для горизонтального перемещения во внутренней сети, используя ИБП в качестве шлюза».
Уязвимости CVE-2022-22806 и CVE-2022-22805, в то же время, представляют собой уязвимости обхода аутентификации адреса и переполнения буфера соответственно. В обоих случаях специально созданный пакет TLS может позволить злоумышленнику удаленно выполнить код на устройстве ИБП.
Исследователи из компании Armis отметили, что эти недостатки иллюстрируют, как блоки ИБП, которые обычно не рассматриваются как угроза безопасности или приоритет обновления, могут стать векторами атак благодаря внедрению функций удаленного управления.
В своем отчете команда даже упомянула Голливуд.
«Тот факт, что устройства ИБП регулируют мощность высокого напряжения, в сочетании с их подключением к Интернету делает их ценной киберфизической целью. В телесериале «Мистер Робот» злоумышленники вызывают взрыв, используя устройство ИБП APC», — говорится в отчете. . «Однако это уже не вымышленная атака. Воспользовавшись этими уязвимостями в лаборатории, исследователи Armis смогли удаленно активировать устройство Smart-UPS и заставить его буквально сгореть».
Armis заявила, что 31 октября 2021 года раскрыла уязвимости TLStorm материнской компании APC Schneider Electric и работала с компанией над созданием исправлений для устройств Smart-UPS, которые теперь доступны. Во вторник Schneider Electric опубликовала рекомендации по безопасности с подробным описанием затронутых продуктов и обновлений безопасности.
Армис рекомендовал администраторам связаться с Schneider Electric, чтобы убедиться, что их системы ИБП обновлены до последней версии прошивки. Помимо исправления недостатков TLStorm, Армис также призвал пользователей изменить все пароли по умолчанию для автомобилей управления сетью в устройствах Smart-UPS и перепроверить политику доступа к сети, чтобы отразить потенциальных злоумышленников.