Language
Forscher decken Schwachstellen in APC Smart auf

Blog

HeimHeim / Blog / Forscher decken Schwachstellen in APC Smart auf
search

May 26, 2023

Nur 69 $ für diese 2 TB Solidigm P41 Plus SSD: Echte Angebote

May 27, 2023

Konfigurieren Sie NIC-Gruppierung in Windows Server

May 28, 2023

Zachariah Branch unterschreibt mehrere

May 29, 2023

4 wichtige Daten-Compliance-Standards

May 30, 2023

FAKTENBLATT: Präsident Biden kündigt im Rahmen der „Bidenomics“-Politik neue Maßnahmen zur Senkung der Gesundheitskosten und zum Schutz der Verbraucher vor betrügerischen Versicherungsplänen und Junk-Gebühren an

Senden Sie Ihre Anfrage
EINREICHEN

Aug 15, 2023

Forscher decken Schwachstellen in APC Smart auf

Getty Images/iStockphoto Drei neu bekannt gewordene Sicherheitslücken stellen eine ernsthafte Bedrohung für Notstromversorgungsgeräte dar, einschließlich möglicher physischer Schäden. Forscher eines IoT-Sicherheitsunternehmens

Getty Images/iStockphoto

Drei neu bekannt gewordene Sicherheitslücken stellen eine ernsthafte Bedrohung für Notstromversorgungsgeräte dar, einschließlich möglicher physischer Schäden.

Forscher des IoT-Sicherheitsunternehmens Armis haben drei in der CVE-Liste aufgeführte Sicherheitslücken namens TLStorm entdeckt und gemeldet, zu denen die Remote-Codeausführung in unterbrechungsfreien Stromversorgungskästen (USV) von APC gehört.

Die Fehler sind als CVE-2022-22806, CVE-2022-22805 und CVE-2022-0715 aufgeführt und beheben Sicherheitslücken bei Firmware-Updates, Authentifizierungsumgehung und Pufferüberlauf. Der schwerwiegendste Fehler könnte eine Fernübernahme des Geräts und möglicherweise eine Änderung der Hardwareeinstellungen ermöglichen, wodurch eine physische Brandgefahr entsteht.

Während USV-Geräte im Allgemeinen nicht dem offenen Internet ausgesetzt sind, sind die Smart-UPS-Geräte von APC besonders anfällig, da sie über ein webbasiertes Verwaltungsportal verfügen. Aus diesem Grund sagen die Armis-Forscher, dass die Fehler tatsächlich aus der Ferne ausgenutzt werden können und für Angriffe durch entfernte Angreifer genutzt werden können.

Der schwerwiegendste Fehler ist CVE-2022-0715, ein Fehler, der es einem Remote-Angreifer ermöglicht, Firmware-Updates ohne Autorisierung zu pushen. Sollte es dem Angreifer gelingen, die Firmware einer USV zu überschreiben, könnte er kritische Hardwareeinstellungen ändern und so zu einer Überhitzung des Geräts führen. „Um die cyberphysische Wirkung des TLStorm-Angriffs zu veranschaulichen, konnten Armis-Forscher eine Smart-UPS über das Netzwerk ohne Benutzerinteraktion beschädigen“, heißt es im TLStorm-Bericht.

Vielleicht noch besorgniserregender ist die Möglichkeit für den Angreifer, die kompromittierte USV als Stützpunkt für weiteren Netzwerkzugriff zu nutzen. Da die USV-Boxen über eine Weboberfläche verwaltet werden, könnte der Angreifer die USV manipulieren, um dann Kontakt zu anderen Systemen im Netzwerk aufzunehmen.

Barak Hadad, Forschungsleiter bei Armis, sagte gegenüber SearchSecurity, dass das Risiko davon abhänge, wie jedes Unternehmen sein Netzwerk aufgebaut habe und wo die USV platziert sei.

„Da USV-Geräte in der Regel für die Stromversorgung geschäftskritischer Geräte verantwortlich sind, wird durch den Ausfall der USV auch das daran angeschlossene Gerät ausgeschaltet, was schwerwiegende Folgen haben kann“, erklärte Hadad.

„Darüber hinaus ist die USV oft mit demselben internen Netzwerk verbunden wie die Geräte, die darauf angewiesen sind, und ein Angreifer kann sich so seitlich im internen Netzwerk bewegen und die USV als Gateway nutzen.“

Die Schwachstellen CVE-2022-22806 und CVE-2022-22805 beheben die Schwachstellen Authentifizierungsumgehung bzw. Pufferüberlauf. In beiden Fällen könnte ein speziell gestaltetes TLS-Paket es dem Angreifer ermöglichen, Code aus der Ferne auf dem USV-Gerät auszuführen.

Forscher von Armis stellten fest, dass die Mängel verdeutlichen, wie USV-Boxen, die im Allgemeinen nicht als Sicherheitsrisiko oder Aktualisierungspriorität angesehen werden, dank der Einführung von Fernverwaltungsfunktionen zu Angriffsvektoren werden können.

Das Team bezog sich in seinem Bericht sogar auf Hollywood.

„Die Tatsache, dass USV-Geräte Hochspannungsstrom regulieren, kombiniert mit ihrer Internetverbindung, macht sie zu einem hochwertigen Cyber-Physical-Ziel. In der Fernsehserie Mr. Robot verursachen schlechte Schauspieler mit einem APC-USV-Gerät eine Explosion“, heißt es in dem Bericht . „Dies ist jedoch kein fiktiver Angriff mehr. Durch die Ausnutzung dieser Schwachstellen im Labor konnten Armis-Forscher ein Smart-UPS-Gerät aus der Ferne zünden und es buchstäblich in Rauch aufgehen lassen.“

Armis sagte, es habe die TLStorm-Schwachstellen am 31. Oktober 2021 der APC-Muttergesellschaft Schneider Electric offengelegt und mit dem Unternehmen zusammengearbeitet, um Patches für Smart-UPS-Geräte zu erstellen, die jetzt verfügbar sind. Schneider Electric hat am Dienstag einen Sicherheitshinweis veröffentlicht, in dem die betroffenen Produkte und Sicherheitsupdates detailliert beschrieben werden.

Armis empfahl Administratoren, sich an Schneider Electric zu wenden, um sicherzustellen, dass ihre USV-Systeme mit der neuesten Firmware aktualisiert sind. Neben der Behebung der TLStorm-Schwachstellen forderte Armis die Benutzer auch dazu auf, alle Standardkennwörter für Netzwerkverwaltungsautos in Smart-UPS-Geräten zu ändern und ihre Netzwerkzugriffsrichtlinien noch einmal zu überprüfen, um potenzielle Angreifer abzuwehren.