Armis annonce la découverte de trois vulnérabilités Zero Day sur les onduleurs APC Smart-UPS, susceptibles de permettre à un pirate d’obtenir un accès à distance. Si elles sont exploitées, ces vulnérabilités (collectivement baptisées TLStorm), permettent aux pirates de désactiver, perturber et détruire les onduleurs APC Smart-UPS, ainsi que les équipements connectés.

Les onduleurs (UPS) fournissent une alimentation électrique de secours d’urgence aux biens essentiels des centres de données, des sites industriels, des hôpitaux, etc. APC est une filiale de Schneider Electric et l’un des plus gros fournisseurs d’onduleurs, avec plus de 20 millions de dispositifs vendus dans le monde.

« Jusqu’à récemment, les biens tels que les onduleurs n’étaient pas considérés comme facteurs de risques. Cependant, il est aujourd’hui évident que les mécanismes de sécurité des périphériques gérés à distance n’ont pas été correctement mis en place, si bien que des pirates peuvent utiliser ces biens vulnérables comme vecteurs d’attaque », explique Barak Hadad, Directeur de recherche chez Armis. « Il est primordial que les professionnels de la sécurité disposent d’une visibilité complète de tous les biens et puissent surveiller leur comportement, afin d’identifier les tentatives d’exploitation comme TLStorm. »

Exposition aux risques dans l’entreprise

Armis examine et analyse différents biens pour aider les responsables de sécurité à protéger leur entreprise des nouvelles menaces. Dans ses recherches, Armis a examiné les onduleurs APC Smart-UPS, ainsi que leurs services de gestion et de surveillance à distance, en raison de la popularité de ces onduleurs APC dans l’environnement de nos clients. Les modèles les plus récents utilisent une connexion de Cloud pour la gestion à distance. Les chercheurs Armis ont constaté qu’un pirate qui exploiterait les vulnérabilités TLStorm pourrait contrôler les appareils à distance sur Internet sans intervention de l’utilisateur et sans aucun signe d’attaque.

Les vulnérabilités découvertes sont notamment deux vulnérabilités critiques de l’implémentation TLS utilisée par les onduleurs Smart-UPS connectés dans le Cloud, ainsi qu’une troisième vulnérabilité très grave : un défaut de conception qui empêche la signature et la validation correctes des mises à niveau du firmware pour tous les onduleurs Smart-UPS.

Deux de ces vulnérabilités impliquent la connexion TLS entre l’onduleur et le Cloud Schneider Electric. Les appareils qui prennent en charge la fonction SmartConnect établissent automatiquement la connexion TLS au démarrage ou à chaque perte temporaire de la connexion de Cloud. Les pirates peuvent exploiter ces vulnérabilités via des paquets réseau non authentifiés, sans aucune intervention de l’utilisateur.

 ? CVE-2022-22805 - (CVSS 9.0) Débordement de tampon TLS : Bug de corruption de mémoire dans le réassemblage du paquet (RCE).

 ? CVE-2022-22806 - (CVSS 9.0) Contournement de l’authentification TLS : Un état confus dans l’échange de reconnaissance mutuelle (handshake) TLS mène à un contournement de l’authentification, ce qui permet l’exécution de code à distance (RCE) via une mise à niveau du firmware sur le réseau.

La troisième vulnérabilité est un défaut de conception : les mises à jour du firmware sur les appareils concernés ne sont pas signées en mode crypté de façon sécurisée. Par conséquent, un pirate peut créer un firmware malveillant et l’installer via différents canaux, notamment Internet, le réseau local (LAN) ou une clé USB. Ce firmware modifié peut permettre au pirate d’établir une persistance à long terme sur ce type d’onduleur et s’en servir comme porte d’accès au réseau pour lancer d’autres attaques.

 ? CVE-2022-0715 - (CVSS 8.9) Mise à niveau de firmware non signée, pouvant être mise à jour sur le réseau (RCE).

L’exploitation des faiblesses des mécanismes de mise à niveau du firmware devient une pratique standard pour les groupes APT, comme l’indiquent les détails de l’analyse du malware Cyclops Blink. Et la signature incorrecte du firmware est un problème récurrent de divers systèmes intégrés. Par exemple, une vulnérabilité récemment découverte par Armis dans les systèmes Swisslog PTS (PwnedPiper, CVE-2021-37160) provenait du même type de défaut.

« Les vulnérabilités TLStorm se produisent dans les systèmes combinant équipement physique et informatique, qui font le lien entre le numérique et l’univers physique. Elles permettent aux cyberattaques d’avoir des conséquences dans le monde réel », déclare Yevgeny Dibrov, P.-D.G. et cofondateur d’Armis. « La plateforme Armis gère cette réalité hyperconnectée, dans laquelle la compromission d’une seule identité et d’un seul périphérique peut ouvrir la porte aux cyberattaques, et où la sécurité de tous les biens est devenue primordiale pour assurer la continuité des activités de l’entreprise et protéger la réputation de la marque. Nos recherches en continu sécurisent les entreprises, car nous leur assurons une visibilité à 100 % de leurs biens IT, de Cloud, IoT, OT, IoMT, 5G et de périphérie. »

Mises à jour et corrections

Schneider Electric a travaillé en collaboration avec Armis sur le sujet, et ses clients ont été avertis et ont reçu des correctifs pour corriger ces vulnérabilités. À ce jour, aucune des deux entreprises n’a entendu parler d’une exploitation des vulnérabilités TLStorm.