Every industrial cybersecurity question demands a tailor-made answer and solution. Our focused team of professionals who understand your business are here to assist your company in securing your mission critical facilities to the highest level.
Maart 2022, de ‘TLStorm’ kwetsbaarheden, gevonden in APC Smart-UPS producten, kunnen aanvallers in staat stellen zowel cyber- als fysieke schade te veroorzaken door kritieke infrastructuur plat te leggen. Drie kritieke beveiligingsproblemen in veelgebruikte slimme UPS-apparaten (Uninterruptible Power Supply) kunnen op afstand worden overgenomen, wat betekent dat kwaadwillenden bedrijfsstoringen, gegevensverlies en zelfs fysieke schade aan kritieke infrastructuur kunnen veroorzaken, zo hebben onderzoekers ontdekt.
Onderzoekers van Armis Research Labs ontdekten de gebreken, die zij TLStorm hebben genoemd, in APC Smart-UPS apparaten, waarvan er wereldwijd ongeveer 20 miljoen zijn geïnstalleerd. APC is een dochteronderneming van Schneider Electric, een van de grootste leveranciers van UPS-apparaten. UPS-apparaten leveren noodstroom voor bedrijfskritische activa die een hoge beschikbaarheid vereisen.
Het risico van wijdverspreide verstoring en schade in zowel de cyber- als de fysieke wereld is groot als de kwetsbaarheden worden uitgebuit, aldus onderzoekers in een rapport dat dinsdag online is gepubliceerd – en het zou gevolgen kunnen hebben op wereldschaal.
Door gebruik te maken van TLStorm kunnen aanvallers de apparaten op afstand overnemen en gebruiken om het interne netwerk van een bedrijf binnen te dringen en gegevens te stelen. Bovendien zouden aanvallers, door de stroom voor bedrijfskritische apparaten of diensten uit te schakelen, ook lichamelijk letsel kunnen veroorzaken of bedrijfsdiensten kunnen verstoren, aldus de onderzoekers.
“De nieuwste APC Smart-UPS-modellen worden bestuurd via een cloudverbinding, en een slechte actor die met succes misbruik maakt van de TLStorm-kwetsbaarheden zou apparaten op afstand kunnen overnemen vanaf het internet, zonder enige interactie van de gebruiker of zonder dat de gebruiker er ooit iets van weet”, waarschuwden de onderzoekers in het rapport. Bovendien kan een aanvaller de gebreken misbruiken om code-uitvoering op een apparaat te verkrijgen, die op zijn beurt kan worden gebruikt om de werking van de UPS te wijzigen om het apparaat zelf of andere erop aangesloten activa fysiek te beschadigen, aldus de onderzoekers. Schneider Electric heeft in samenwerking met Armis patches ontwikkeld voor de kwetsbaarheden, die onder klanten zijn verspreid en beschikbaar zijn op de website van Schneider Electric. Voor zover de onderzoekers weten, zijn er geen aanwijzingen dat de kwetsbaarheden tot nu toe zijn uitgebuit, aldus de onderzoekers.
De kwetsbaarheden van TLStorm
Twee van de kwetsbaarheden betreffen onjuiste foutafhandeling van Transport Layer Security – de “TLS” van TLStorm – in de TLS-verbinding tussen de UPS en de Schneider Electric-cloud. TLS is een algemeen gebruikt beveiligingsprotocol dat is ontworpen om privacy en gegevensbeveiliging voor internetcommunicatie te vergemakkelijken.
Apparaten die de SmartConnect-functie ondersteunen, brengen deze TLS-verbinding automatisch tot stand bij het opstarten of wanneer cloudverbindingen tijdelijk wegvallen, aldus de onderzoekers.
De eerste, getraceerd als CVE-2022-22805, is een TLS buffer overflow/memory-corruption bug in packet reassembly die kan leiden tot remote code execution (RCE). Ondertussen is CVE-2022-22806, een TLS authenticatie omzeiling, een toestandsverwarring in de TLS handshake die leidt tot authenticatie omzeiling en ook RCE, aldus de onderzoekers. Beide bugs kregen een score van 9,0 op de CVSS bug-severity scale.
Deze kwetsbaarheden kunnen worden geactiveerd via niet-geauthenticeerde netwerkpakketten zonder enige interactie van de gebruiker, een scenario dat bekend staat als een nul-klik-aanval, aldus de onderzoekers.
“APC gebruikt Mocana nanoSSL als de bibliotheek die verantwoordelijk is voor TLS-communicatie,” schreven ze in het rapport. “In de handleiding van de bibliotheek staat duidelijk dat bibliotheekgebruikers de verbinding moeten sluiten als er een TLS-fout optreedt. In het APC-gebruik van deze bibliotheek worden sommige fouten echter genegeerd, waardoor de verbinding open blijft, maar in een toestand waarvoor de bibliotheek niet is ontworpen.”
De derde fout, getraceerd als CVE-2022-0715 en met een CVSS-rating van 8,9, is een ontwerpfout waarbij de firmware-updates op getroffen apparaten niet op een veilige manier cryptografisch zijn ondertekend. “De APC Smart-UPS-firmware is gecodeerd met een symmetrische versleuteling, maar is niet cryptografisch ondertekend”, aldus het rapport. “Door die nuance konden onze onderzoekers kwaadaardige firmware fabriceren die Smart-UPS-apparaten accepteerden als officiële, geldige firmware.” Op soortgelijke wijze kon een aanvaller ook schadelijke firmware maken en installeren via verschillende wegen, waaronder internet, LAN of een USB-stick, aldus de onderzoekers.
Wereldwijde gevolgen
Gezien de oorlog in Oekraïne en het huidige geopolitieke klimaat, hebben de FBI en het Amerikaanse ministerie van Binnenlandse Veiligheid er bij exploitanten van kritieke infrastructuur op aangedrongen alles wat ongebruikelijk is te melden en alle getroffen apparaten in hun omgeving zo snel mogelijk te patchen.
Er zijn immers precedenten dat aanvallers zich onder meer op UPS-apparaten richten om kritieke infrastructuur plat te leggen. Zo hebben hackers in 2015 het Oekraïense elektriciteitsnet aangevallen, wat leidde tot een grootschalige stroomstoring.
Er wordt momenteel gevreesd dat Rusland zich zou kunnen richten op elektriciteitsnetten en andere kritieke infrastructuur in landen die Oekraïne steunen, zoals de Verenigde Staten, nu de gevechten doorgaan na de Russische invasie van Oekraïne eind vorige maand. De ontdekking van de TLStorm-kwetsbaarheden onderstreept ook de volatiliteit van apparaten binnen bedrijfsnetwerken die verantwoordelijk zijn voor de betrouwbaarheid van de stroomvoorziening en andere kritieke infrastructuur, merkten de onderzoekers op. Ze benadrukten de noodzaak voor organisaties met APC Smart UPS-apparaten om onmiddellijk te handelen om ze te beschermen tegen beveiligingsrisico’s.
Patches en oplossingen
Naast het toepassen van patches zijn er ook andere oplossingen voor TLStorm, aldus de onderzoekers. In apparaten waarin klanten de netwerkbeheerkaart (NMC) gebruiken, kunnen ze het standaard NMC-wachtwoord (“apc”) wijzigen en een openbaar ondertekend SSL-certificaat installeren. Dit zal voorkomen dat een aanvaller het nieuwe wachtwoord onderschept, zeiden ze.
Netwerkbeheerders kunnen ook toegangscontrolelijsten (ACL’s) implementeren waarin de UPS-apparaten alleen mogen communiceren met een kleine set beheerapparaten en de Schneider Electric Cloud via versleutelde communicatie, voegden de onderzoekers eraan toe.