Trois vulnérabilités de sécurité à fort impact ont été révélées dans les dispositifs APC Smart-UPS qui pourraient être exploitées par des adversaires distants comme une arme physique pour y accéder et les contrôler de manière non autorisée.
Collectivement surnommées TLStorm, les failles « permettent une prise de contrôle à distance complète des appareils Smart-UPS et la capacité de mener des attaques cyber-physiques extrêmes », ont déclaré Ben Seri et Barak Hadad, chercheurs de la société de sécurité IoT Armis, dans un rapport publié mardi.
Les dispositifs d’alimentation sans coupure (UPS) fonctionnent comme des fournisseurs d’alimentation de secours d’urgence dans des environnements critiques tels que les installations médicales, les salles de serveurs et les systèmes industriels. La plupart des appareils touchés, totalisant plus de 20 millions, ont été identifiés jusqu’à présent dans les secteurs de la santé, de la vente au détail, de l’industrie et du gouvernement.
TLStorm se compose d’un trio de failles critiques qui peuvent être déclenchées via des paquets réseau non authentifiés sans nécessiter aucune interaction de l’utilisateur, ce qui signifie qu’il s’agit d’une attaque sans clic, avec deux des problèmes impliquant un cas de prise de contact TLS défectueuse entre l’onduleur et le cloud APC –
CVE-2022-22805 (score CVSS : 9,0) – Débordement de tampon TLS
CVE-2022-22806 (score CVSS : 9,0) – Contournement de l’authentification TLS
CVE-2022-0715 (score CVSS : 8,9) – Mise à niveau du micrologiciel non signée pouvant être mise à jour via le réseau
L’exploitation réussie de l’une des failles pourrait entraîner des attaques d’exécution de code à distance (RCE) sur des appareils vulnérables, qui à leur tour pourraient être militarisés pour altérer les opérations de l’onduleur afin d’endommager physiquement l’appareil ou d’autres actifs qui y sont connectés.
« En utilisant notre vulnérabilité RCE, nous avons pu contourner la protection logicielle et laisser les périodes de pointe de courant s’écouler encore et encore jusqu’à ce que le condensateur de liaison CC chauffe jusqu’à ~ 150 degrés Celsius (~ 300F), ce qui a provoqué l’éclatement du condensateur et brique le UPS dans un nuage de gaz électrolyte, causant des dommages collatéraux à l’appareil », ont expliqué les chercheurs.
Pour aggraver les choses, la faille dans le mécanisme de mise à niveau du micrologiciel pourrait être exploitée pour implanter une mise à jour malveillante sur les appareils UPS, permettant aux attaquants d’établir une persistance pendant de longues périodes et d’utiliser l’hôte compromis comme passerelle pour d’autres attaques.
« L’abus des failles dans les mécanismes de mise à jour du firmware devient une pratique courante des APT, comme cela a été récemment détaillé dans l’analyse du malware Cyclops Blink, et la signature incorrecte des firmwares des appareils embarqués est une faille récurrente dans divers systèmes embarqués », ont déclaré les chercheurs. .
Suite à la divulgation responsable à Schneider Electric le 31 octobre 2021, des correctifs ont été publiés dans le cadre des mises à jour du Patch Tuesday du 8 mars 2022. Il est recommandé aux clients d’installer les mises à jour fournies pour réduire le risque d’exploitation réussie de ces vulnérabilités.
« Les onduleurs, comme de nombreux autres appareils d’infrastructure numérique, sont souvent installés et oubliés », ont conclu les chercheurs. « Étant donné que ces appareils sont connectés aux mêmes réseaux internes que les systèmes centraux de l’entreprise, les tentatives d’exploitation peuvent avoir de graves conséquences. »