Tiga kerentanan keamanan berdampak tinggi telah diungkapkan di yang dapat disalahgunakan oleh musuh jarak jauh sebagai senjata fisik untuk mengakses dan mengontrol mereka secara tidak sah.
Secara kolektif dijuluki , kelemahan tersebut "memungkinkan pengambilalihan perangkat Smart-UPS dari jarak jauh dan kemampuan untuk melakukan serangan fisik-cyber yang ekstrem," Ben Seri dan Barak Hadad, peneliti dari perusahaan keamanan IoT Armis, mengatakan dalam sebuah laporan yang diterbitkan Selasa.
Perangkat catu daya tak terputus ( ) berfungsi sebagai penyedia daya cadangan darurat di lingkungan yang sangat penting seperti fasilitas medis, ruang server, dan sistem industri. Sebagian besar perangkat yang terkena, dengan total lebih dari 20 juta, sejauh ini telah diidentifikasi di sektor perawatan kesehatan, ritel, industri, dan pemerintah.
TLStorm terdiri dari trio kelemahan kritis yang dapat dipicu melalui paket jaringan yang tidak diautentikasi tanpa memerlukan interaksi pengguna apa pun, yang berarti ini adalah serangan tanpa klik, dengan dua masalah yang melibatkan kasus yang salah antara UPS dan cloud APC.
- CVE-2022-22805 (skor CVSS: 9.0) – buffer overflow TLS
- CVE-2022-22806 (skor CVSS: 9.0) – bypass otentikasi TLS
- CVE-2022-0715 (skor CVSS: 8,9) – Pembaruan firmware yang tidak ditandatangani yang dapat diperbarui melalui jaringan
"Dengan menggunakan kerentanan RCE kami, kami dapat melewati perlindungan perangkat lunak dan membiarkan periode lonjakan saat ini berjalan berulang-ulang hingga kapasitor tautan DC memanas hingga ~150 derajat celsius (~300F), yang menyebabkan kapasitor meledak dan bata UPS di awan gas elektrolit, menyebabkan kerusakan tambahan pada perangkat," para peneliti .
Lebih buruk lagi, kelemahan dalam mekanisme peningkatan firmware dapat dimanfaatkan untuk menanam pembaruan berbahaya pada perangkat UPS, memungkinkan penyerang untuk membangun kegigihan untuk waktu yang lama dan menggunakan host yang disusupi sebagai pintu gerbang untuk serangan lebih lanjut.
"Menyalahgunakan kelemahan dalam mekanisme peningkatan firmware menjadi praktik standar APT, seperti yang baru-baru ini dirinci dalam analisis malware Cyclops Blink , dan penandatanganan firmware perangkat yang disematkan secara tidak tepat adalah kesalahan yang berulang di berbagai sistem tertanam," kata para peneliti. .
Setelah pengungkapan yang bertanggung jawab kepada Schneider Electric pada 31 Oktober 2021, perbaikan telah dirilis sebagai bagian dari pada 8 Maret 2022. Pelanggan disarankan untuk menginstal pembaruan yang disediakan untuk mengurangi risiko keberhasilan eksploitasi kerentanan ini.
"Perangkat UPS, seperti banyak peralatan infrastruktur digital lainnya, sering dipasang dan dilupakan," para peneliti menyimpulkan. "Karena perangkat ini terhubung ke jaringan internal yang sama dengan sistem bisnis inti, upaya eksploitasi dapat memiliki implikasi yang parah."
Last edited: