Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Armis descobre três vulnerabilidades de dia-zero em dispositivos Smart-UPS da APC, com o nome de TLStorm, expondo mais de 20 milhões de dispositivos empresariais

Armis descobre três vulnerabilidades de dia-zero em dispositivos Smart-UPS da APC, com o nome de TLStorm, expondo mais de 20 milhões de dispositivos e
Share it:
Vulnerabilidades encontradas em fontes de energia ininterrupta amplamente utilizadas podem permitir que os atacantes consigam contornar medidas de segurança e assumir o controlo ou danificar dispositivos críticos industriais, médicos ou empresariais.
Armis descobre três vulnerabilidades de dia-zero em dispositivos Smart-UPS da APC, com o nome de TLStorm, expondo mais de 20 milhões de dispositivos empresariais
Armis, o líder do serviço unificado de visibilidade e segurança de ativos, anunciou hoje a descoberta de três vulnerabilidades zero-day em dispositivos Smart-UPS da APC, que podem permitir o acesso remoto de atacantes. Se exploradas, estas vulnerabilidades, conhecidas coletivamente como TLStorm, podem permitir aos agentes de ameaças desativar, interromper e destruir os dispositivos Smart

UPS da APC e todos os ativos associados.

Os dispositivos de fonte de energia ininterrupta (UPS, na tradução inglesa) disponibilizam uma reserva de energia de emergência para ativos críticos para data centres, complexos industriais, hospitais, entre outros. A APC é uma subsidiária da Schneider Electric e um dos principais fornecedores de dispositivos UPS, com mais de 20 milhões de unidades vendidas em todo o mundo.

“Até muito recentemente, ativos, como os dispositivos UPS, não eram vistos como preocupações de segurança. No entanto, ficou claro que os mecanismos de segurança em aparelhos geridos remotamente não têm sido devidamente implementados, o que pode levar a que agentes de ameaça possam utilizar esses ativos vulneráveis como um ponto de ataque”, revelou Barak Hadad, Head of Research da Armis. “É vital que os profissionais de segurança tenham uma visibilidade completa de todos os ativos, tal como a possibilidade de monitorizar o seu comportamento, de forma a identificar tentativas de exploração de vulnerabilidades como a TLStorm”.

Risco de Exposição nas Organizações

A Armis pesquisa e analisa vários ativos, de forma a ajudar os líderes de segurança a proteger as suas organizações de novas ameaças. Para esta investigação, a Armis analisou os dispositivos Smart-UPS da APC e a sua gestão remota e serviços de monitorização, devido ao uso alargado destes dispositivos nos ambientes dos seus clientes. Os últimos modelos utilizaram uma ligação à cloud para gestão remota. Os investigadores da Armis descobriram que um atacante que explore as vulnerabilidades TLStorm pode conseguir o controlo remoto de dispositivos através da Internet, sem qualquer interação por parte do utilizador ou qualquer sinal do ataque.

As ameaças descobertas incluem duas vulnerabilidades críticas na implementação TLS usada por dispositivos Smart-UPS que estão ligados com uma conexão cloud e uma terceira vulnerabilidade muito grave, uma falha de design, em que os upgrades de firmware da maior parte dos dispositivos Smart-UPS não estão corretamente assinados ou validados.

Duas das vulnerabilidades estão envolvidas com a ligação TLS entre a UPS e a cloud da Schneider Electric. Os dispositivos que suportam a funcionalidade SmartConnect estabelecem automaticamente uma ligação TLS durante o arranque ou sempre que as ligações da cloud se perdem temporariamente. Os atacantes podem explorar estas vulnerabilidades através de pacotes de rede não autenticados, onde não existe qualquer interação do utilizador.

● CVE-2022-22805 - (CVSS 9.0) Buffer overflow de TLS: Um bug de corrupção de memória na remontagem de pacotes (RCE).

● CVE-2022-22806 - (CVSS 9.0) Desvio de autenticação TLS: Uma confusão de estado no handshake TLS leva a um desvio de autenticação, provocando a execução de código remoto (ERC), ao utilizar uma atualização de firmware de rede.

A terceira vulnerabilidade é uma falha de conceção em que as atualizações de firmware nos dispositivos afetados não são assinadas criptograficamente de uma forma segura. Como resultado, um atacante poderia criar firmware malicioso e instalá-lo utilizando vários métodos, incluindo a Internet, uma ligação LAN, ou uma unidade USB. Este firmware modificado poderia permitir aos atacantes estabelecer uma persistência duradoura nos dispositivos UPS, que podem depois ser utilizados como um reduto dentro da rede para lançar ataques adicionais.

● CVE-2022-0715 - (CVSS 8.9) Atualização de firmware não assinada que pode ser atualizada através da rede (RCE).

Falhas abusivas nos mecanismos de atualizações de firmware tornaram-se uma prática corrente de APTs (Advanced Persistent Threats ou Ameaças Avançadas Persistentes, em tradução livre), como foi recentemente detalhado na análise do malware Cyclops Blink, e uma assinatura imprópria de firmware é uma falha recorrente em vários sistemas incorporados. Por exemplo, uma antiga vulnerabilidade descoberta pela Armis nos

sistemas Swisslog PTS (PwnedPiper, CVE-2021-37160) resultaram num tipo de falha similar.

“As vulnerabilidades TLStorm ocorrem em sistemas cyber-físicos que ligam o mundo digital ao físico, dando aos ciberataques a possibilidade de consequências no mundo real”, revela Yevgeny Dibrov, CEO e co-fundador da Armis. “A plataforma da Armis aborda esta realidade hiper-conectada, onde uma identidade ou dispositivo comprometido pode abrir a porta aos ciberataques, e a segurança de cada ativo tornou

se fundamental para proteger a continuidade do negócio e a reputação da marca. A nossa pesquisa em curso dá segurança às organizações, ao garantir uma visibilidade completa a 100% dos seus ativos de IT, cloud, IoT, OT, IoMT, 5G ou edge”.

Atualizações e Mitigações

A Schneider Electric está a trabalhar em colaboração com a Armis neste assunto, e os clientes estão a ser notificados e estão a ser desenvolvidos patches para corrigir estas vulnerabilidades. No conhecimento das duas empresas, não existe indicação que estas vulnerabilidades TLStorm tenham sido exploradas.

As organizações que implantem dispositivos Smart-UPS da APC devem aplicar as patches de atualização nos dispositivos impactados imediatamente. Mais informação pode ser encontrada no aconselhamento da segurança da Schneider Electric, presente aqui.

Os clientes da Armis podem identificar imediatamente os dispositivos Smart-UPS da APC que estão vulneráveis no seu ambiente e começar a corrigir o problema. Para falar com um especialista Armis e experimentar a nossa plataforma premiada de segurança de aparelhos sem agente, pode clicar aqui.

Apresentação do estudo

Especialistas da Armis vão discutir a pesquisa TLStorm durante os seguintes eventos, tanto virtualmente como presencialmente:
  • Webinar (Quarta-feira, 30 de março, 1:00 p.m. EST): Lightning from the Cloud 
  • LinkedIn Live (Quinta-feira, 10 de março, 2022, 12:00 p.m. EST): Lightning from the Cloud
  • Nullcon Berlin 2022 (5-9 abril, 2022) - Finding and Exploiting Critical Bugs in TLS Libraries used by “Smart” UPS Devices
  • Black Hat Asia 2022 (10-13 maio, 2022) - Like Lightning From the Cloud: Finding RCEs in an Embedded TLS Library and Toasting a Popular Cloud-connected UPS
Share it:

info

Post A Comment:

0 comments: