严重漏洞可能会让攻击者远程攻击、损坏APC智能UPS设备

在APC智能UPS设备中发现了三个影响较大的安全漏洞，远程对手可能会利用这些漏洞作为物理武器，以未经授权的方式访问和控制这些设备。

合称TLStorm物联网安全公司Armis的研究人员本·塞里（Ben Seri）和巴拉克·哈达德（Barak Hadad）在周二发布的一份报告中表示，这些缺陷“允许完全远程接管智能UPS设备，并具备进行极端网络物理攻击的能力”。

不间断电源（UPS）设备在医疗设施、服务器机房和工业系统等关键任务环境中充当应急备用电源。到目前为止，在医疗保健、零售、工业和政府部门，已经确认了大多数受影响的设备，总数超过2000万台。

TLStorm由三个关键的缺陷组成，这些缺陷可以通过未经认证的网络数据包在不需要任何用户交互的情况下被触发，这意味着它是一个零点击攻击，其中两个问题涉及到UPS和APC云之间的TLS握手故障。

• CVE-2022-22805（CVSS得分：9.0）和#8211；TLS缓冲区溢出
• CVE-2022-22806（CVSS得分：9.0）和#8211；TLS认证旁路
• CVE-2022-0715（CVSS得分：8.9）和#8211；可以通过网络更新的未签名固件升级

成功利用任何缺陷都可能导致对易受攻击的设备进行远程代码执行（RCE）攻击，进而对其进行武器化，以篡改UPS的操作，从而对设备或与其连接的其他资产造成物理损坏。

研究人员说：“通过使用我们的RCE漏洞，我们能够绕过软件保护，让电流尖峰周期反复运行，直到直流链路电容器加热到约150摄氏度（~300F），这导致电容器爆裂，并在电解液气体云中堵塞UPS，对设备造成附带损害”。

更糟糕的是，固件升级机制中的缺陷可能被用来在UPS设备上植入恶意更新，使攻击者能够建立长时间的持久性，并将受损主机用作进一步攻击的网关。

研究人员说：“正如最近对Cyclops Blink恶意软件的分析所详述的那样，滥用固件升级机制中的缺陷正在成为APTs的标准做法，而对嵌入式设备的固件进行不正确的签名是各种嵌入式系统中反复出现的一个缺陷”。

在2021年10月31日施耐德电气的负责披露之后，修复已经发布，作为2022年3月8日补丁星期二更新的一部分。建议客户安装提供的更新，以降低成功利用这些漏洞的风险。

研究人员得出结论：“UPS设备和许多其他数字基础设施设备一样，经常被安装和遗忘”。“由于这些设备与核心业务系统连接到同一个内部网络，利用这些设备的企图可能会产生严重影响”。