现在跟踪的一组三个关键的零日漏洞 TLSstorm 可以让黑客从施耐德电气的子公司 APC 控制不间断电源 (UPS) 设备。

这些缺陷影响了广泛用于各种活动领域的 APC Smart-UPS 系统，包括政府、医疗保健、工业、IT 和零售业。

UPS 设备充当应急电源备用解决方案，并存在于数据中心、工业设施、医院等关键任务环境中。

身体影响的风险

Armis 是一家为企业连接设备提供安全解决方案的公司，其研究人员在 APC 的 SmartConnect 和 Smart-UPS 系列产品中发现了三个问题。

其中两个漏洞 CVE-2022-22805 和 CVE-2022-22806 存在于 TLS（传输层安全）协议的实施中，该协议将具有“SmartConnect”功能的 Smart-UPS 设备连接到施耐德电气管理云。

第三个，标识为 CVE-2022-0715，与“几乎所有 APC Smart-UPS 设备”的固件有关，该固件未经加密签名，安装在系统上时无法验证其真实性。

虽然固件是加密的（对称的），但它缺少加密签名，从而允许攻击者创建它的恶意版本并将其作为更新交付给目标 UPS 设备以实现远程代码执行 (RCE)。

Armis 研究人员能够利用该漏洞并构建恶意 APC 固件版本，该版本被 Smart-UPS 设备接受为官方更新，根据目标执行不同的过程：

• 具有 SmartConnect 云连接功能的最新 Smart-UPS 设备可以通过 Internet 从云管理控制台升级
• 可以通过本地网络更新使用网络管理卡 (NMC) 的旧 Smart-UPS 设备
• 大多数 Smart-UPS 设备也可以使用 USB 驱动器进行升级服务器

考虑到 10 家公司中约有 8 家公司使用易受攻击的 APC UPS 装置（根据 Armis 的数据）以及它们所服务的敏感环境（医疗设施、ICS 网络、服务器机房），其影响可能会产生重大的物理后果。

Armis 发现的与 TLS 相关的漏洞似乎更严重，因为它们可以被未经身份验证的攻击者在没有用户交互的情况下利用，即所谓的零点击攻击。

这两个漏洞都是由于从 Smart-UPS 到施耐德电气服务器的 TLS 连接中不正确的 TLS 错误处理引起的，并且在正确利用时会导致远程代码执行。

其中一个安全问题是由“TLS 握手中的状态混淆”引起的身份验证绕过，另一个是内存损坏错误。

在今天的博客文章中，Armis 展示了远程威胁参与者如何利用这些漏洞：

缓解建议

研究人员的报告解释了所有三个 TLSstorm 漏洞的技术方面，并提供了一组保护 UPS 设备的建议：

1. 安装 Schneider Electric 网站上提供的补丁程序
2. 如果您使用 NMC，请更改默认 NMC 密码（“apc”）并安装公开签名的 SSL 证书，这样您网络上的攻击者将无法截获新密码。要进一步限制 NMC 的攻击面，请参阅 Schneider Electric Security Handbook for  NMC 2 和 NMC 3。
3. 部署访问控制列表 (ACL)，其中仅允许 UPS 设备通过加密通信与一小部分管理设备和施耐德电气云进行通信。