Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Aug 15, 2023
I ricercatori scoprono le vulnerabilità in APC Smart
Getty Images/iStockphoto Tre nuove vulnerabilità di sicurezza rivelate rappresentano una seria minaccia per l'alimentazione dei dispositivi di backup, compresi possibili danni fisici. Ricercatori presso una società di sicurezza IoT
Getty Images/iStockphoto
Tre nuove vulnerabilità di sicurezza rivelate rappresentano una seria minaccia per i dispositivi di backup, compresi possibili danni fisici.
I ricercatori della società di sicurezza IoT Armis hanno scoperto e segnalato tre difetti di sicurezza elencati CVE, soprannominati TLStorm, che includono l'esecuzione di codice remoto in gruppi di continuità (UPS) realizzati da APC.
I bug sono elencati come CVE-2022-22806, CVE-2022-22805 e CVE-2022-0715 e risolvono l'aggiornamento del firmware, il bypass dell'autenticazione e i difetti di sicurezza del buffer overflow. Il più grave dei difetti potrebbe consentire il controllo remoto del dispositivo e la potenziale modifica delle impostazioni hardware per creare un pericolo di incendio fisico.
Mentre i dispositivi UPS generalmente non sarebbero esposti alla rete Internet aperta, i dispositivi Smart-UPS di APC sono particolarmente vulnerabili perché dispongono di un portale di amministrazione basato sul web. Per questo motivo, i ricercatori di Armis affermano che i bug sono effettivamente sfruttabili da remoto e possono essere utilizzati per attacchi da parte di aggressori remoti.
Il più grave dei difetti è CVE-2022-0715, un difetto che consente a un utente malintenzionato remoto di inviare aggiornamenti del firmware senza autorizzazione. Se l'aggressore fosse in grado di sovrascrivere il firmware su un UPS, potrebbe modificare le impostazioni hardware critiche per causare il surriscaldamento del dispositivo. "Illustrando l'effetto cyber-fisico dell'attacco TLStorm, i ricercatori Armis sono stati in grado di danneggiare uno Smart-UPS sulla rete senza alcuna interazione da parte dell'utente", afferma il rapporto TLStorm.
Forse ancora più preoccupante è la possibilità per l’aggressore di utilizzare l’UPS compromesso come punto d’appoggio per ottenere ulteriore accesso alla rete. Poiché gli UPS sono gestiti tramite un'interfaccia web, l'aggressore potrebbe manipolare l'UPS per poi contattare altri sistemi sulla rete.
Barak Hadad, capo della ricerca presso Armis, ha dichiarato a SearchSecurity che il rischio dipenderà da come ciascuna azienda ha impostato la propria rete e dal posizionamento degli UPS.
"Poiché i dispositivi UPS sono generalmente responsabili dell'alimentazione di dispositivi mission-critical, lo smantellamento dell'UPS comporta anche il danneggiamento del dispositivo ad esso collegato e può avere gravi implicazioni", ha spiegato Hadad.
"Inoltre, l'UPS è spesso connesso alla stessa rete interna dei dispositivi che fanno affidamento su di esso, e un utente malintenzionato può utilizzarlo per spostarsi lateralmente nella rete interna utilizzando l'UPS come gateway."
Le vulnerabilità CVE-2022-22806 e CVE-2022-22805, invece, risolvono rispettivamente le vulnerabilità di bypass dell’autenticazione e di buffer overflow. In entrambi i casi, un pacchetto TLS appositamente predisposto potrebbe consentire all'aggressore di ottenere l'esecuzione di codice remoto sul dispositivo UPS.
I ricercatori di Armis hanno notato che le falle illustrano come i box UPS, che generalmente non sono visti come un rischio per la sicurezza o una priorità di aggiornamento, possono diventare vettori di attacco, grazie all’introduzione di funzionalità di gestione remota.
Il team ha persino fatto riferimento a Hollywood nel suo rapporto.
"Il fatto che i dispositivi UPS regolino l'alimentazione ad alta tensione, combinato con la loro connettività Internet, li rende un bersaglio cyber-fisico di alto valore. Nella serie televisiva Mr. Robot, i malintenzionati causano un'esplosione utilizzando un dispositivo UPS APC", afferma il rapporto . "Tuttavia, questo non è più un attacco fittizio. Sfruttando queste vulnerabilità in laboratorio, i ricercatori di Armis sono stati in grado di accendere da remoto un dispositivo Smart-UPS e farlo letteralmente andare in fumo."
Armis ha dichiarato di aver rivelato le vulnerabilità TLStorm alla società madre di APC Schneider Electric il 31 ottobre 2021 e di aver collaborato con l'azienda per creare patch per i dispositivi Smart-UPS, che sono ora disponibili. Martedì Schneider Electric ha pubblicato un avviso di sicurezza che descrive in dettaglio i prodotti interessati e gli aggiornamenti di sicurezza.
Armis consiglia agli amministratori di connettersi con Schneider Electric per assicurarsi che i loro sistemi UPS siano aggiornati con il firmware più recente. Oltre a correggere i difetti di TLStorm, Armis ha anche esortato gli utenti a modificare eventuali password predefinite per le auto di gestione della rete nei dispositivi Smart-UPS e a ricontrollare le politiche di accesso alla rete per scongiurare potenziali aggressori.