Los investigadores de seguridad de Armis han detallado un trío de vulnerabilidades en los llamados dispositivos Smart-UPS vendidos por APC, subsidiaria de Schneider Electric, que permiten la ejecución remota de código imperceptible, el reemplazo del firmware y potencialmente quemar toda la unidad.
Naturalmente, en 2022, las fallas en el sistema se derivan de una combinación de una mala implementación de TLS y la capacidad de controlarse a través de un sistema basado en la nube en dispositivos más nuevos.
«Dado que el vector de ataque TLS puede originarse en Internet, estas vulnerabilidades pueden actuar como una puerta de entrada a la red corporativa interna. Los malos actores pueden usar la confusión del estado TLS para identificarse como la nube de Schneider Electric y recopilar información sobre el UPS detrás de la red corporativa. cortafuegos», dijo Armis.
«Luego, pueden actualizar de forma remota el firmware del UPS y utilizar el UPS como punto de entrada para un ataque de ransomware o cualquier otro tipo de operación maliciosa».
Si una conexión TLS tiene un error, en lugar de cerrar la conexión como recomiendan los escritores de la biblioteca Mocana nanoSSL, APC ignora algunos de los errores, lo que deja la conexión abierta y la biblioteca en un estado que no está diseñado para manejar.
«Ignorar los errores de la biblioteca nanoSSL hace que el UPS almacene en caché la clave TLS en su estado no inicializado», dijo Arris.
«Cuando un atacante utiliza la funcionalidad de reanudación de TLS, la clave no inicializada (todo cero) se obtiene de la memoria caché y el atacante puede comunicarse con el dispositivo como si fuera un servidor Schneider Electric genuino. Como un servidor aparentemente verificado, el atacante puede emitir un comando de actualización de firmware y ejecutar código de forma remota sobre el dispositivo UPS».
Además, todos los dispositivos Smart-UPS utilizan la misma clave simétrica para el cifrado y descifrado, y se puede extraer de los dispositivos. Como beneficio adicional, los dispositivos no verifican si algún firmware está firmado, lo que permite a los atacantes permanecer persistentemente en el dispositivo.
En el extremo físico extremo de la ecuación, reemplazar el firmware permite que un atacante eluda las protecciones físicas basadas en software, como una alerta de cortocircuito que apaga el UPS.
«Al usar nuestra vulnerabilidad RCE, pudimos eludir la protección del software y dejar que los períodos de picos de corriente se produjeran una y otra vez hasta que el capacitor del enlace de CC se calentó hasta ~150 grados centígrados (~300F), lo que provocó que el capacitor explotara y bloqueara el UPS en una nube de gas electrolito, causando daños colaterales al dispositivo», afirman los investigadores en un libro blanco [PDF].
«El riesgo de explotación ya no se limita al mundo de TI: un atacante puede convertir el UPS en un arma física. Desde el punto de vista de la seguridad cibernética, este tipo de sistemas deben manejarse como una sustancia inflamable que se encuentra en el corazón de una organización.»
Armis recomienda a los usuarios instalar los parches de Schneider Electric y usar listas de control de acceso para restringir y cifrar las comunicaciones con el UPS a los dispositivos de administración y Schneider Electric Cloud. Si el dispositivo tiene una tarjeta de administración de red, Armis recomienda cambiar la contraseña predeterminada de «apc» a otra, e instalar un certificado firmado públicamente para evitar la detección de contraseñas.
La compañía de seguridad dijo que cree que el 80% de las organizaciones son vulnerables, con las organizaciones de atención médica alcanzando más del 92% con un dispositivo vulnerable y el comercio minorista justo detrás con el 89%.
Actualizado a las 3:52 p. m. AEST, 9 de marzo de 2022: Información técnica aclarada.