聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

被统称为 “TLStorm” 的三个严重的0day漏洞可被黑客用于控制施耐德电气子公司APC的不断电供电系统 (UPS) 设备。这些漏洞影响政府、医疗、工业、IT和零售行业都备受青睐的APC Smart-UPS 系统。

UPS 设备是紧急电源备份解决方案，用于关键任务环境中如数据中心、工业设施、医院等。

物理影响的风险

Armis 公司的研究人员从APC公司的SmartConect和Smart-UPS 家族产品中发现了这三个严重0day。

其中两个漏洞CVE-2022-22805和CVE-2022-22806 位于TLS 协议实现中，该协议负责连接具有“SmartConnect”特性的Smart-UPS 设备和施耐德电气公司的管理云。

第三个漏洞是CVE-2022-0715，和“几乎所有 APC Smart-UPS 设备”的固件有关。该固件并未加密签名，当安装在系统上是无法自动验证。虽然该固件是加密的但缺少加密签名，导致攻击者可创建恶意版本并伪装成更新攻击UPS设备，实现远程代码执行。

研究人员能够利用该漏洞并构建被Smart-UPS 设备接受为官方更新的恶意APC固件版本。具体流程根据目标的不同而不同：

• 拥有SmartConnect 云连接功能的最新Smart-UPS 设备可通过互联网从云管理控制台上升级。

• 使用网络管理卡 (NMC) 的老旧Smart-UPS 设备可通过局域网进行更新。

• 大多Smart-UPS 设备可通过USB驱动进行升级。

从Armis提供的数据来看，易受攻击的APC UPS 单元用于80%左右的企业中，而且它们服务的环境是敏感的（医疗设施、ICS网络、服务器机房），因此这些漏洞可造成严重的物理后果。

严重的零点击漏洞

研究人员发现的上述两个TLS相关漏洞更为严重，因为无需用户交互，未认证攻击者即可利用这些漏洞，即执行零点击攻击。研究人员指出，“CVE-2022-22806和CVE-2022-22805设计UPS和施耐德电气云中的TLS连接。支持SmartConnect 特性的设备自动在启动时或云连接临时丢失时会建立TLS连接。”

这两个漏洞是因为对从Smart-UPS 到施耐德电气服务的TLS连接的TLS错误处理不当造成的，如遭利用可导致远程代码执行后果。

其中一个漏洞是因为“TLS握手中的状态困惑”造成的认证绕过，另外一个是内存损坏漏洞。Armis 公司在博客文章中展示了远程攻击者如何利用这些漏洞。

缓解建议

研究人员在报告中解释了所有TLStorm 漏洞的技术详情并提供了一些UPS设备的保护措施：

• 在施耐德电气网站上安装可用补丁。

• 如果使用NMC，则更改默认的NMC密码（"apc”）并安装公开签名的SSL证书，如此位于用户网络上的攻击者将无法拦截新密码。可参照施耐德电气公司的NMC2和NMC3安全手册了解如何进一步限制NMC的攻击面。

• 部署访问控制列表 (ACLs)，仅允许UPS设备和少量管理设备和施耐德电气云通过加密通信方式进行通信。

Armis 公司还发布了技术白皮书，详述了相关漏洞研究成果，具体可见：https://info.armis.com/rs/645-PDC-047/images/Armis-TLStorm-WP%20%281%29.pdf

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

微软 Azure App Service 漏洞 NotLegit已存在4年，客户源代码被暴露

微软在 Linux 虚拟机偷偷安装Azure App，后修复严重漏洞但Linux虚拟机难以修复

因使用五年前的老旧代码，Azure 容器险遭黑客接管，微软已修复

Windows 365 以明文形式暴露微软 Azure 凭据

我发现了 Microsoft Azure 中的两个漏洞

原文链接

https://www.bleepingcomputer.com/news/security/apc-ups-zero-day-bugs-can-remotely-burn-out-devices-disable-power/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~