Odborníci z kyberbezpečnostní firmy Armis odhalili kritické bezpečnostní chyby v chytrých zdrojích nepřerušovaného napájení (UPS) značky APC. Zranitelnosti mohou vést ke vzdálené manipulaci milionů zařízení a potenciálnímu poškození připojených spotřebičů.
Sada tří kritických zranitelností, označovaných souhrnně jako TLStorm, byla odhalena při zkoumání zařízení APC Smart-UPS a způsobu jejich komunikace s příslušnými službami pro vzdálenou správu a monitorování.
Útok přes internet
Nejnovější modely chytrých UPSek jsou ovládány prostřednictvím cloudového připojení. Odborníci z Armisu zjistili, že útočník využívající zranitelnosti TLStorm může přes internet vzdáleně převzít kontrolu nad zařízením, aniž by došlo k jakékoli interakci s uživatelem nebo viditelným projevům takového útoku.
Následně mohou útočníci provést útok vzdáleným spuštěním kódu (RCE), který lze využít ke změně činnosti UPS. Ve výsledku je tak možné na dálku fyzicky poškodit samotné zařízení nebo jiné k němu připojené přístroje a spotřebiče.
V minulosti již došlo k útokům zaměřeným na energetickou síť a přístroje v ní. Patrně nejznámější je útok na ukrajinskou energetickou síť, ke kterému došlo v roce 2015. Během něj byla zařízení UPS (a mnoho dalších typů spotřebičů) vzdáleně hacknuta, což vedlo k rozsáhlému výpadku.
Nedávné události v rusko-ukrajinském konfliktu vyvolaly obavy amerických představitelů, že by Rusko prostřednictvím kybernetických útoků mohlo zaútočit na americkou energetickou síť. Objevení zranitelností TLStorm zdůrazňuje zranitelnost zařízení v podnikových prostředích odpovědných za spolehlivost napájení a potřebu chránit taková zařízení před škodlivými útoky.
Na dálku zapálená UPS
Zdroje nepřerušovaného napájení zpravidla poskytují nouzové záložní napájení pro kritická zařízení. Při přerušení dodávky elektrické energie, které by mohlo způsobit výpadek provozu nebo ztrátu dat, pomáhají zajistit vysokou dostupnost kritických technologií například v serverovnách, zdravotnických a dalších zařízeních.
Skutečnost, že zařízení UPS regulují napětí, z nich v kombinaci s jejich připojením k internetu činí cenný kyberneticko-fyzikální cíl. V televizním seriálu Pan Robot způsobili útočníci výbuch UPS. To však není jen filmová fikce – s využitím těchto zranitelností dokázali odborníci z Armisu vzdáleně zapálit zařízení Smart-UPS a způsobit, že se z něj doslova kouřilo.
Vzhledem k tomu, že vektor útoku může pocházet z internetu, mohou zranitelnosti fungovat jako brána do interní podnikové sítě. Hackeři se mohou identifikovat jako cloud společnosti Schneider Electric a shromažďovat informace o UPS za firemním firewallem. Poté mohou vzdáleně aktualizovat firmware UPS a použít ji jako vstupní bod pro útok ransomwarem nebo jiný typ škodlivé operace.
Tři kritické zranitelnosti
Sada objevených zranitelností zahrnuje dvě kritické zranitelnosti v implementaci protokolu TLS, kterou používají zařízení Smart-UPS pro připojení k cloudu, a třetí kritickou zranitelnost, spočívající v chybě v návrhu, při které nejsou aktualizace firmwaru všech zařízení Smart-UPS řádně podepsány a ověřeny.
Dvě z těchto zranitelností se týkají spojení mezi UPS a cloudem společnosti Schneider Electric, která pod značkou APC vyrábí a prodává zdroje nepřerušovaného napájení. Zařízení, podporující funkci SmartConnect, automaticky navazují TLS spojení při spuštění nebo vždy, když dojde k dočasné ztrátě spojení s cloudem.
- CVE-2022-22806 - Obcházení ověřování TLS: Záměna stavů při předávání protokolu TLS vede k obejití ověřování, což může vést ke vzdálenému spuštění kódu (RCE) pomocí aktualizace síťového firmwaru.
- CVE-2022-22805 - Přetečení bufferu TLS: Chyba narušení paměti při opětovném sestavování paketů (RCE).
Třetí zranitelnost spočívá v chybě návrhu, kdy aktualizace firmwaru v postižených zařízeních nejsou bezpečně kryptograficky podepsány. To znamená, že útočník může vytvořit škodlivý firmware a nainstalovat jej různými cestami, včetně instalace přes internet, síť LAN nebo flash disk. UPS tak může útočník využít jako „pevnost“, z níž lze provádět další útoky.
- CVE-2022-0715 - Nepodepsaný upgrade firmwaru, který lze aktualizovat přes síť (RCE).
Experti z Armisu informovali o těchto zranitelnostech firmu Schneider Electric 31. října loňského roku. Díky následné vzájemné spolupráci byly úspěšně vytvořeny a otestovány záplaty, které je nyní dostupné ke stažení.