TLStorm gefährdet Millionen von USV-Anlagen

Lesezeit
2 Minuten
Bis jetzt gelesen

TLStorm gefährdet Millionen von USV-Anlagen

08.03.2022 - 12:00
Veröffentlicht in:
Armis, Anbieter einer Plattform für Asset Visibility und Sicherheit, hat drei Zero-Day-Lücken in Smart-UPS-Geräten von APC entdeckt, über die sich Angreifer Fernzugriff verschaffen können. Wenn Angreifer diese Lücken namens "TLStorm" ausnutzen, könnten sie die betroffenen Smart-UPS-Modelle und die damit verbundenen Assets deaktivieren, beeinträchtigen oder zerstören.
Unterbrechungsfreie Stromversorgungen (USV) wie die APC Smart-UPS gewährleisten eine Notstromversorgung für kritische Assets in Rechenzentren, Industrieanlagen, Krankenhäusern und anderen Bereichen. APC ist eine Tochtergesellschaft von Schneider Electric und mit über 20 Millionen verkauften Geräten weltweit einer der führenden USV-Anbieter.

"Bis vor kurzem galten Assets wie USV-Geräte nicht als potenzielle Sicherheitsrisiken. Mittlerweile hat sich jedoch herausgestellt, dass Sicherheitsmechanismen in fernverwalteten Geräten nicht immer ordnungsgemäß implementiert sind und böswillige Akteure solche anfälligen Assets als Angriffsvektor missbrauchen könnten", erklärt Barak Hadad, Head of Research bei Armis. "Sicherheitsexperten brauchen unbedingt einen vollständigen Überblick über sämtliche Assets und müssen deren Verhalten überwachen können, damit sie Versuche zur Ausnutzung von Sicherheitslücken wie TLStorm erkennen."

Risiken für Unternehmen
Armis untersucht und analysiert Assets verschiedener Art, um Sicherheitsmanagern zu helfen, ihre Unternehmen vor neuen Bedrohungen zu schützen. Im aktuellen Fall untersuchte Armis Smart-UPS-Geräte von APC und deren Fernverwaltungs- und Monitoring-Dienste, da USV von APC in den Umgebungen der Armis-Kunden vielfach im Einsatz sind. Die neuesten Modelle nutzen zur Fernverwaltung eine Cloud-Verbindung. Wie die Sicherheitsforscher von Armis herausfanden, könnte ein Angreifer, der die TLStorm-Schwachstellen [1] missbraucht, Geräte über das Internet fernsteuern – ganz ohne Benutzerinteraktion oder Anzeichen für einen Angriff.

Entdeckt wurden zwei kritische Sicherheitslücken in der TLS-Implementierung cloudvernetzter Smart-UPS sowie eine dritte schwerwiegende Schwachstelle – ein Designfehler, der bewirkt, dass die Firmware-Upgrades sämtlicher Smart-UPS-Geräte nicht korrekt signiert oder validiert werden.

Zwei der Lücken betreffen die TLS-Verbindung zwischen den USV und der Schneider Electric Cloud. Geräte, die die SmartConnect-Funktion unterstützen, bauen automatisch eine TLS-Verbindung auf, wenn sie gestartet werden oder falls die Cloud-Verbindung vorübergehend unterbrochen war. Angreifer können diese Sicherheitslücken über unauthentifizierte Netzwerkpakete auslösen, ohne dass dazu irgendeine Benutzerinteraktion erforderlich ist:

  • CVE-2022-22805 - (CVSS 9.0) TLS-Pufferüberlauf: Ein Speicherfehler bei der Paketzusammensetzung (RCE).
  • CVE-2022-22806 - (CVSS 9.0) Umgehung der TLS-Authentifizierung: Ein Zustandsfehler beim TLS-Handshake führt dazu, dass die Authentifizierung umgangen wird. Dies ermöglicht Remotecodeausführung (RCE) mithilfe eines Firmware-Upgrades über das Netzwerk.

Bei der dritten Lücke handelt es sich um einen Designfehler, der bewirkt, dass die Firmware-Updates auf den betroffenen Geräten nicht auf sichere Weise kryptografisch signiert werden. Infolgedessen könnte ein Angreifer eine bösartige Firmware erstellen und diese auf verschiedenen Wegen installieren, zum Beispiel über das Internet, ein LAN oder einen USB-Stick. Diese modifizierte Firmware könnte es Angreifern ermöglichen, sich langfristig auf solchen USV-Geräten einzunisten und sie als Bastion im Netzwerk zu nutzen, um von dort aus weitere Angriffe auszuführen:

  • CVE-2022-0715 - (CVSS 8.9) Unsigniertes Firmware-Upgrade, das über das Netzwerk aktualisiert werden kann (RCE).

Dass APTs Schwachstellen in Firmware-Upgrade-Prozessen ausnutzen, wird zunehmend üblich, wie kürzlich in der Analyse der Cyclops Blink-Malware beschrieben. Und dass Firmware nicht ordnungsgemäß signiert wird, ist ein Fehler, der in eingebetteten Systemen immer wieder auftritt. So beruht beispielsweise eine Schwachstelle, die Armis vor kurzem in den Rohrpostsystemen von Swisslog gefunden hatte (PwnedPiper, CVE-2021-37160), auf einem ähnlichen Fehler.

"Die TLStorm-Sicherheitslücken betreffen cyber-physische Systeme, die unsere digitale und unsere physische Welt miteinander verbinden. Deshalb könnten entsprechende Cyberangriffe auch Auswirkungen auf die reale Welt haben", betont Yevgeny Dibrov, CEO und Mitgründer von Armis. "Die Plattform von Armis wird dieser hypervernetzten Realität gerecht: einer Realität, in der eine einzige kompromittierte Identität und ein einziges kompromittiertes Gerät Cyberangriffen Tür und Tor öffnen können und die Sicherheit jedes einzelnen Assets zu einer Grundvoraussetzung geworden ist, um die Geschäftskontinuität und den Ruf einer Marke zu wahren. Unsere fortlaufenden Forschungen ermöglichen es uns, Unternehmen zu schützen, indem wir ihnen eine hundertprozentige Sicht auf alle ihre IT-, Cloud-, IoT-, OT-, IoMT-, 5G- und Edge-Assets bieten."

Updates und Risikominderung
Schneider Electric hat in dieser Angelegenheit mit Armis zusammengearbeitet. Die Kunden wurden verständigt und mit Patches versorgt, die die Schwachstellen beheben. Nach bester Kenntnis der beiden Unternehmen gibt es keine Anzeichen dafür, dass die TLStorm-Schwachstellen ausgenutzt wurden. Unternehmen, die Smart-UPS von APC einsetzen, sollten die betroffenen Geräte unverzüglich patchen. Weitere Informationen finden Sie in der Sicherheitsempfehlung von Schneider Electric unter [2].

dr

[1] https://www.armis.com/research/tlstorm/
[2] https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-02

Tags

Ähnliche Beiträge

Exchange ungeschützt im Visier Lars Nitsch Di., 26.03.2024 - 13:09
Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik hervor.
Mehr Transparenz bei Benutzeraktivitäten Lars Nitsch Mo., 25.03.2024 - 09:41
BeyondTrust hat Version 24.1 von "Endpoint Privilege Management für Windows & Mac" veröffentlicht. Die Enterprise-Software zur Durchsetzung von Least-Privilege-Strategien und granularer Applikationskontrolle soll im aktuellen Release mit neuen Funktionen für höhere Benutzerfreundlichkeit und optimierte Arbeitsabläufe sorgen.
Keeper Security mit Updates für mehr administrative Kontrolle Lars Nitsch Fr., 22.03.2024 - 08:51
Keeper Security, Anbieter von Zero-Trust- und Zero-Knowledge-Software zum Schutz von Anmeldedaten, privilegiertem Zugang und Remote-Verbindungen hat die Benutzeroberfläche seiner Admin-Konsole optimiert und das Onboarding überarbeitet. Die Updates stellen eine direkte Reaktion auf die Rückmeldungen der Benutzer-Community dar.