APC UPS 零日漏洞可远程烧毁设备、断电

近期跟进的一组三个关键的零日漏洞TLSstorm可以让黑客从施耐德电气的子公司APC控制不间断电源(UPS)设备，这种情况将影响广泛用于各种活动领域的APC Smart-UPS系统，包括政府、医疗保健、工业、IT 和零售业，其中UPS设备充当应急电源备用解决方案，并存在于数据中心、工业设施、医院等关键任务环境中。

作为一家为企业连接设备提供安全解决方案的公司，Armis研究人员在APC的 SmartConnect和Smart-UPS 系列产品中发现了三个问题。其中两个漏洞 CVE-2022-22805 和CVE-2022-22806 存在于TLS（传输层安全）协议的实施中，该协议将具有“SmartConnect”功能的Smart-UPS设备连接到施耐德电气管理云。而第三个标识为 CVE-2022-0715的漏洞，几乎跟所有的APC Smart-UPS 设备固件有关，该固件未经过加密签名，且安装在系统上时无法验证其真实性。虽然固件是加密的（对称的），但它缺少加密签名，从而允许攻击者创建它的恶意版本并将其作为更新交付给目标UPS设备以实现远程代码执行 (RCE)。

Armis研究人员能够利用该漏洞并构建恶意APC固件版本，该版本被Smart-UPS设备接受为官方更新，根据目标执行不同的过程：

具有SmartConnect云连接功能的最新Smart-UPS设备可以通过Internet从云管理控制台升级

可以通过本地网络更新使用网络管理卡 (NMC) 的旧 Smart-UPS 设备

大多数Smart-UPS设备也可以使用 USB 驱动器进行升级

根据Armis的调查表明，10家公司中就有8家公司使用易受攻击的APC UPS装置，考虑到他们所服务的敏感环境（医疗设施、ICS 网络、服务器机房），其影响可能会产生重大的物理后果。Armis发现的与TLS相关的漏洞似乎更严重，因为它们可以被未经身份验证的攻击者在没有用户交互的情况下利用，即所谓的零点击攻击。这两个漏洞都是因为从Smart-UPS 到施耐德电气服务器的TLS连接中不正确的TLS错误处理引起的。其中一个安全问题是由“TLS 握手中的状态混淆”引起的身份验证绕过，另一个是内存损坏错误。

不过研究人员不仅在报告里给出了所有三个TLSstorm漏洞的技术信息，也提供了一组保护 UPS设备的建议：

安装Schneider Electric网站上提供的补丁程序

如果您使用NMC，请更改默认NMC密码（“apc”）并安装公开签名的SSL证书，这样攻击者将无法截获新密码。

部署访问控制列表 (ACL)，其中仅允许UPS设备通过加密通信与一小部分管理设备和施耐德电气云进行通信.