Die Schwachstellen in weitverbreiteten unterbrechungsfreien Stromversorgungen könnten Angreifer befähigen, Sicherheitsmaßnahmen zu umgehen und kritische industrielle, medizinische und Unternehmensgeräte per Fernzugriff zu übernehmen oder zu beschädigen
PALO ALTO, Kalifornien – 8. März 2022 – Armis, der führende Anbieter einer einheitlichen Plattform für Asset Visibility und Sicherheit, gab heute die Entdeckung von drei Zero-Day-Lücken in Smart-UPS-Geräten von APC bekannt, über die sich Angreifer Fernzugriff verschaffen können. Wenn Angreifer diese Lücken ausnutzen, die unter dem Namen TLStorm zusammengefasst werden, könnten sie die betroffenen APC Smart-UPS-Modelle und die damit verbundenen Assets deaktivieren, beeinträchtigen oder zerstören.
Unterbrechungsfreie Stromversorgungen (USV) wie die APC Smart-UPS gewährleisten eine Notstromversorgung für kritische Assets in Rechenzentren, Industrieanlagen, Krankenhäusern und anderen Bereichen. APC ist eine Tochtergesellschaft von Schneider Electric und mit über 20 Millionen verkauften Geräten weltweit einer der führenden USV-Anbieter.
Barak Hadad, Head of Research bei Armis
„Bis vor kurzem galten Assets wie USV-Geräte nicht als potenzielle Sicherheitsrisiken. Mittlerweile hat sich jedoch herausgestellt, dass Sicherheitsmechanismen in fernverwalteten Geräten nicht immer ordnungsgemäß implementiert sind und böswillige Akteure solche anfälligen Assets als Angriffsvektor missbrauchen könnten“, erklärt Barak Hadad, Head of Research bei Armis. „Sicherheitsexperten brauchen unbedingt einen vollständigen Überblick über sämtliche Assets und müssen deren Verhalten überwachen können, damit sie Versuche zur Ausnutzung von Sicherheitslücken wie TLStorm erkennen.“
Risiken für Unternehmen
Armis untersucht und analysiert Assets verschiedener Art, um Sicherheitsmanagern zu helfen, ihre Unternehmen vor neuen Bedrohungen zu schützen. Im aktuellen Fall untersuchte Armis Smart-UPS-Geräte von APC und deren Fernverwaltungs- und Monitoring-Dienste, da USV von APC in den Umgebungen der Armis-Kunden vielfach im Einsatz sind. Die neuesten Modelle nutzen zur Fernverwaltung eine Cloud-Verbindung. Wie die Sicherheitsforscher von Armis herausfanden, könnte ein Angreifer, der die TLStorm-Schwachstellen missbraucht, Geräte über das Internet fernsteuern – ganz ohne Benutzerinteraktion oder Anzeichen für einen Angriff.
Entdeckt wurden zwei kritische Sicherheitslücken in der TLS-Implementierung cloudvernetzter Smart-UPS sowie eine dritte schwerwiegende Schwachstelle – ein Designfehler, der bewirkt, dass die Firmware-Upgrades sämtlicher Smart-UPS-Geräte nicht korrekt signiert oder validiert werden.
Zwei der Lücken betreffen die TLS-Verbindung zwischen den USV und der Schneider Electric Cloud. Geräte, die die SmartConnect-Funktion unterstützen, bauen automatisch eine TLS-Verbindung auf, wenn sie gestartet werden oder falls die Cloud-Verbindung vorübergehend unterbrochen war. Angreifer können diese Sicherheitslücken über unauthentifizierte Netzwerkpakete auslösen, ohne dass dazu irgendeine Benutzerinteraktion erforderlich ist.
- CVE-2022-22805 – (CVSS 9.0) TLS-Pufferüberlauf: Ein Speicherfehler bei der Paketzusammensetzung (RCE).
- CVE-2022-22806 – (CVSS 9.0) Umgehung der TLS-Authentifizierung: Ein Zustandsfehler beim TLS-Handshake führt dazu, dass die Authentifizierung umgangen wird. Dies ermöglicht Remotecodeausführung (RCE) mithilfe eines Firmware-Upgrades über das Netzwerk.
Bei der dritten Lücke handelt es sich um einen Designfehler, der bewirkt, dass die Firmware-Updates auf den betroffenen Geräten nicht auf sichere Weise kryptografisch signiert werden. Infolgedessen könnte ein Angreifer eine bösartige Firmware erstellen und diese auf verschiedenen Wegen installieren, zum Beispiel über das Internet, ein LAN oder einen USB-Stick. Diese modifizierte Firmware könnte es Angreifern ermöglichen, sich langfristig auf solchen USV-Geräten einzunisten und sie als Bastion im Netzwerk zu nutzen, um von dort aus weitere Angriffe auszuführen.
- CVE-2022-0715 – (CVSS 8.9) Unsigniertes Firmware-Upgrade, das über das Netzwerk aktualisiert werden kann (RCE).
Dass APTs Schwachstellen in Firmware-Upgrade-Prozessen ausnutzen, wird zunehmend üblich, wie kürzlich in der Analyse der Cyclops Blink-Malware beschrieben. Und dass Firmware nicht ordnungsgemäß signiert wird, ist ein Fehler, der in eingebetteten Systemen immer wieder auftritt. So beruht beispielsweise eine Schwachstelle, die Armis vor kurzem in den Rohrpostsystemen von Swisslog gefunden hatte (PwnedPiper, CVE-2021-37160), auf einem ähnlichen Fehler.
„Die TLStorm-Sicherheitslücken betreffen cyber-physische Systeme, die unsere digitale und unsere physische Welt miteinander verbinden. Deshalb könnten entsprechende Cyberangriffe auch Auswirkungen auf die reale Welt haben“, betont Yevgeny Dibrov, CEO und Mitgründer von Armis. „Die Plattform von Armis wird dieser hypervernetzten Realität gerecht: einer Realität, in der eine einzige kompromittierte Identität und ein einziges kompromittiertes Gerät Cyberangriffen Tür und Tor öffnen können und die Sicherheit jedes einzelnen Assets zu einer Grundvoraussetzung geworden ist, um die Geschäftskontinuität und den Ruf einer Marke zu wahren. Unsere fortlaufenden Forschungen ermöglichen es uns, Unternehmen zu schützen, indem wir ihnen eine hundertprozentige Sicht auf alle ihre IT-, Cloud-, IoT-, OT-, IoMT-, 5G- und Edge-Assets bieten.“
Updates und Risikominderung
Schneider Electric hat in dieser Angelegenheit mit Armis zusammengearbeitet. Die Kunden wurden verständigt und mit Patches versorgt, die die Schwachstellen beheben. Nach bester Kenntnis der beiden Unternehmen gibt es keine Anzeichen dafür, dass die TLStorm-Schwachstellen ausgenutzt wurden.
Unternehmen, die Smart-UPS von APC einsetzen, sollten die betroffenen Geräte unverzüglich patchen. Weitere Informationen finden Sie in der Sicherheitsempfehlung von Schneider Electric unter diesem Link.
Armis-Kunden können anfällige Smart-UPS von APC in ihren Umgebungen sofort identifizieren und Abhilfemaßnahmen einleiten. Wenn Sie mit einem Experten von Armis sprechen und unsere preisgekrönte agentenlose Device Security-Plattform kennenlernen möchten, klicken Sie bitte hier.
Präsentation der Forschungsergebnisse
Experten von Armis werden die Forschungsergebnisse zu TLStorm bei den folgenden virtuellen und Präsenz-Events erörtern:
- Webinar (Mittwoch, 30. März 2022, 13:00 EST): Lightning from the Cloud
- LinkedIn Live (Donnerstag, 10. März 2022, 12:00 EST): Lightning from the Cloud
- Nullcon Berlin 2022 (5. – 9. April 2022) – Finding and Exploiting Critical Bugs in TLS Libraries used by „Smart“ UPS Devices
- Black Hat Asia 2022 (10. – 13. Mai 2022) – Like Lightning From the Cloud: Finding RCEs in an Embedded TLS Library and Toasting a Popular Cloud-connected UPS
Weiterführende Ressourcen
- Folgen Sie Armis auf LinkedIn, Twitter und YouTube
- Besuchen Sie com, um mehr über unsere agentenlose Device Security-Plattform zu erfahren
- Lesen Sie Näheres im Blogpost zu TLStorm
- Sie möchten unsere Plattform testen? Fordern Sie eine Demo an
Über Armis
Armis ist die führende Unified Asset Visibility & Security Plattform, die entwickelt wurde, um die neue Bedrohungslandschaft von vernetzten Geräten zu adressieren. Zahlreiche Unternehmen weltweit vertrauen auf den Echtzeit- und kontinuierlichen Schutz von Armis, um alle verwalteten, nicht verwalteten und IoT-Geräte, einschließlich medizinischer Geräte (IoMT), Betriebstechnik (OT) und industrieller Kontrollsysteme (ICS), mit vollem Kontext zu sehen. Armis bietet passives und unvergleichliches Cybersecurity Asset Management, Risikomanagement und automatisierte Richtlinien-Durchsetzung. Armis ist ein Privatunternehmen mit Hauptsitz in Palo Alto, Kalifornien.