APC by Schneider-Electric hat eine Reihe kritisch eingestufter Sicherheitslücken in der Software seiner USV-Anlagen der Reihe "Smart-UPS" geschlossen. Angreifer könnten sie ausnutzen, "um Sicherheitsmaßnahmen zu umgehen und kritische industrielle, medizinische und Unternehmensgeräte per Fernzugriff zu übernehmen oder zu beschädigen", die die IT-Security-Firma Armis. Deren Experten hatten die unter de´m Namen "TLStorm" zusammengefassten Sicherheitslücken entdeckt und an den Hersteller gemeldet.
"Bis vor kurzem galten Assets wie USV-Geräte nicht als potenzielle Sicherheitsrisiken. Mittlerweile hat sich jedoch herausgestellt, dass Sicherheitsmechanismen in fernverwalteten Geräten nicht immer ordnungsgemäß implementiert sind und böswillige Akteure solche anfälligen Assets als Angriffsvektor missbrauchen könnten", erklärt Barak Hadad, Head of Research bei Armis.
Armis untersuchte Smart-UPS-Geräte von APC und deren Fernverwaltungs- und Monitoring-Dienste, da die USV-Produkte von APC vielfach in den Umgebungen der Armis-Kunden im Einsatz sind. Die neuesten Modelle nutzen zur Fernverwaltung eine Cloud-Verbindung. Die Sicherheitsforscher von Armis fanden heraus, dass Angreifer, da vorhandene Schwachstellen missbrauchen könnten, um Geräte über das Internet ohne Benutzerinteraktion oder Anzeichen für einen Angriff fernzusteuern.
Konkret handelt es sich um zwei als kritisch eingestufte Sicherheitslücken in der TLS-Implementierung cloudvernetzter Smart-UPS sowie einen Designfehler, durch den die Firmware-Upgrades sämtlicher Smart-UPS-Geräte nicht korrekt signiert oder validiert werden.
USV-Anlagen, die eine "SmartConnect" genannte Funktion unterstützen, bauen automatisch eine TLS-Verbindung auf, wenn sie gestartet werden oder falls die Verbindung zur Schneider Electric Cloud vorübergehend unterbrochen war. Angreifer können sich über die zwei Lücken bei der TLS-Verbindung einklinken - entweder indem sie einen TLS-Pufferüberlauf verursachen (CVE-2022-22805) oder die TLS-Authentifizierung umgehen (CVE-2022-22806).
Die dritte Lücke (CVE-2022-0715) bewirkt, dass Firmware-Updates nicht auf sichere Weise kryptografisch signiert werden. Angreifer könnten daher eine manipulierte Firmware erstellen und diese auf unterschiedlichen Wegen installieren, zum Beispiel über das Internet, ein LAN oder einen USB-Stick. Diese modifizierte Firmware könnte es ihnen dann ermöglichen, die USV-Geräte als Ausgangspunkt für weitere Angriffe im Netzwerk zu nutzen.
Schneider Electric hat Kunden bereits benachrichtigt und mit Patches versorgt, die die Schwachstellen beheben. Weder APC noch Armis sind Fälle bekannt, in denen die Schwachstellen ausgenutzt wurden. Dennoch sollten alle Unternehmen, die Geräte aus der Reihe Smart-UPS von APC einsetzen, diese unverzüglich patchen. Weitere Informationen finden sich in einer Sicherheitsempfehlung von Schneider Electric. Da Experten von Armis ihre Forschungsergebnisse in mehrere Webinaren sowie Anfang April auf der Nullcon Berlin 2022 und Mitte Mai bei der Black Hat Asia 2022 präsentieren werden, sollte da bald geschehen. Danach könnten Angreifer versuchen, Systeme von Patch-Muffeln aufzuspüren und die über die gut dokumentierten Schwachstellen anzugreifen.
Channel Excellence Awards 2022 - Datacenter Infrastruktur
APC by Schneider Electric hat neues Bonusprogramm aufgelegt
Unterbrechungsfreie Stromversorgung als Basis der Digitalisierung
Servicegeschäft bei USV-Anlagen als Chance für zusätzlichen Umsatz