数据中心机房的噩梦--UPS不间断电源设备中发现的三个严重漏洞可让攻击者远程操纵数百万企业设备的电源

Armis公司研究人员在APC Smart-UPS设备中发现了一组三个关键的零日漏洞，这些漏洞可让远程攻击者接管 Smart-UPS设备并对物理设备和 IT 资产进行极端攻击。不间断电源 (UPS)设备为关键任务资产提供应急备用电源，可在数据中心、工业设施、医院等场所找到。APC是施耐德电气的子公司，是UPS设备的领先供应商之一，在全球销售了超过2000万台设备。如果被利用，这些被称为TLStorm的漏洞允许完全远程接管Smart-UPS设备并能够进行极端的网络物理攻击。根据Armis的数据，近10家公司中有8家暴露于TLSstorm漏洞。

一、TLSstorm漏洞概述

这组发现的漏洞包括云连接Smart-UPS设备使用的TLS实施中的两个严重漏洞，以及第三个严重漏洞，即设计缺陷，其中所有Smart-UPS设备的固件升级都没有正确签名和验证。其中两个漏洞涉及UPS和施耐德电气云之间的TLS连接。支持SmartConnect功能的设备会在启动时或云连接暂时丢失时自动建立TLS连接。

CVE-2022-22806：TLS 身份验证绕过：TLS 握手中的状态混淆导致身份验证绕过，导致使用网络固件升级进行远程代码执行 (RCE)。

CVE-2022-22805：TLS 缓冲区溢出：数据包重组 (RCE) 中的内存损坏错误。

这两个漏洞可以通过未经身份验证的网络数据包触发，无需任何用户交互（ZeroClick 攻击）。

CVE-2022-0715：可通过网络更新的未签名固件升级 (RCE)。

第三个漏洞是设计缺陷，受影响设备上的固件更新未以安全方式进行加密签名。这意味着攻击者可以制作恶意固件并使用各种路径（包括Internet、LAN或USB驱动器）进行安装。这可以让攻击者在此类 UPS设备上建立持久的持久性，这些设备可以用作网络中的据点，可以从中进行额外的攻击。

滥用固件升级机制中的缺陷正在成为APT的标准做法，正如最近在对Cyclops Blink恶意软件的分析中所详述的那样，嵌入式设备固件的不当签名是各种嵌入式系统中反复出现的缺陷。Armis之前在Swisslog PTS系统中发现的漏洞( PwnedPiper , CVE-2021-37160) 是类似漏洞的结果。

Armis已于2021年10月31日向施耐德电气披露了这些漏洞。此后，Armis与施耐德电气合作创建并测试了一个补丁，该补丁现已普遍可用。

在当地时间3月8日发布的安全公告中，施耐德电气表示，这些漏洞被归类为“严重”和“高严重性”，影响 SMT、SMC、SCL、SMX、SRT和SMTL系列产品。该公司已开始发布包含针对这些漏洞的补丁的固件更新。对于没有固件补丁的产品，施耐德提供了一系列缓解措施来降低被利用的风险。