Armis entdeckt kritische Zero-Day-Lücken
USVs als Angriffsvektor
Armis, US-amerikanischer Anbieter einer agentenlosen Security-Plattform, meldet die Entdeckung dreier Zero-Day-Lücken in USV-Geräten (unterbrechungsfreie Stromversorgung) von APCs Smart-UPS-Baureihe, über die sich Angreifer Fernzugriff verschaffen können. Mittels dieser Lücken, die Armis unter dem Namen TLStorm zusammenfasst, könne ein Angreifer die betroffenen USVs und die damit verbundenen Assets deaktivieren, beeinträchtigen oder gar zerstören, so der Security-Anbieter.
Die aktuellen Smart-UPS-Modelle der Schneider-Electric-Tochter APC nutzen zur Fernverwaltung eine Cloud-Verbindung, ein „SmartConnect“ genanntes Verfahren. Laut den Sicherheitsforschern von Armis könnte ein Angreifer, der die TLStorm-Schwachstellen missbraucht, die Geräte über das Internet fernsteuern – ganz ohne Benutzerinteraktion oder Anzeichen für einen Angriff.
„Bis vor kurzem galten Assets wie USV-Geräte nicht als potenzielle Sicherheitsrisiken“, sagt Barak Hadad, Head of Research bei Armis. „Mittlerweile hat sich jedoch herausgestellt, dass Sicherheitsmechanismen in fernverwalteten Geräten nicht immer ordnungsgemäß implementiert sind und böswillige Akteure solche anfälligen Assets als Angriffsvektor missbrauchen könnten.“ Seine Folgerung: „Sicherheitsexperten brauchen unbedingt einen vollständigen Überblick über sämtliche Assets und müssen deren Verhalten überwachen können, damit sie Versuche zur Ausnutzung von Sicherheitslücken wie TLStorm erkennen.“
Die Security-Forscher haben laut eigenem Bekunden zwei kritische Sicherheitslücken in der TLS-Implementierung Cloud-vernetzter Smart-UPS sowie eine dritte schwerwiegende Schwachstelle entdeckt: einen Designfehler, der bewirke, dass die Firmware-Upgrades sämtlicher Smart-UPS-Geräte nicht korrekt signiert oder validiert werden.
Zwei der Lücken, so die weiteren Angaben, betreffen die TLS-Verbindung zwischen den USV und der Schneider Electric Cloud: Geräte, die die SmartConnect-Funktion unterstützen, bauen automatisch eine TLS-Verbindung auf, wenn sie gestartet werden oder falls die Cloud-Verbindung vorübergehend unterbrochen war. Ein Angreifer könne die Sicherheitslücken über unauthentifizierte Netzwerkpakete auslösen, ohne dass dazu eine Benutzerinteraktion erforderlich sei. Die Sicherheitslücken sind erfasst als CVE-2022-22805 - (CVSS 9.0) TLS-Pufferüberlauf und CVE-2022-22806 - (CVSS 9.0) Umgehung der TLS-Authentifizierung.
Bei der dritten Lücke handelt es sich laut Armis-Verlautbarung um einen Designfehler, der bewirkt, dass die Firmware-Updates auf den betroffenen Geräten nicht auf sichere Weise kryptografisch signiert werden. Infolgedessen könnte ein Angreifer eine bösartige Firmware erstellen und diese auf verschiedenen Wegen installieren, zum Beispiel per Internet, LAN oder USB-Stick. Modifizierte Firmware wiederum könnte es Angreifern ermöglichen, sich langfristig auf den USV-Geräten einzunisten und sie als Bastion im Netzwerk zu nutzen, um von dort aus weitere Angriffe auszuführen. Die Schwachstelle trägt die Bezeichnung CVE-2022-0715 - (CVSS 8.9).
Dass APTs Schwachstellen in Firmware-Upgrade-Prozessen ausnutzen, wird zunehmend üblich, so Armis, wie kürzlich in der Analyse der Cyclops-Blink-Malware beschrieben. Dass Firmware nicht ordnungsgemäß signiert wird, sei ein Fehler, der in eingebetteten Systemen immer wieder auftrete.
„Die TLStorm-Sicherheitslücken betreffen cyber-physische Systeme, die unsere digitale und unsere physische Welt miteinander verbinden. Deshalb könnten entsprechende Cyberangriffe auch Auswirkungen auf die reale Welt haben“, warnt Yevgeny Dibrov, CEO und Mitgründer von Armis.
Armis hat laut eigenen Angaben in dieser Sache mit Schneider Electric zusammengearbeitet. Man habe die Kunden verständigt und mit Patches versorgt, die die Schwachstellen beheben. Nach Kenntnis der beiden Unternehmen gibt es keine Anzeichen dafür, dass die TLStorm-Schwachstellen ausgenutzt wurden. Unternehmen, die noch nicht aktualisierte Smart-UPSs von APC einsetzen, sollten die betroffenen Geräte natürlich unverzüglich patchen. Armis-Kunden können, wie der Security-Anbieter betont, anfällige Smart-UPSs von APC in ihren Umgebungen identifizieren und Abhilfemaßnahmen einleiten.
USVs wie APCs Smart-UPS gewährleisten eine Notstromversorgung für kritische Assets in Rechenzentren, Industrieanlagen, Krankenhäusern und anderen Bereichen. APC ist eine Tochtergesellschaft von Schneider Electric und weltweit einer der führenden USV-Anbieter.
Lesen Sie mehr zum Thema
