Categories: Seguridad

Descubren una serie de vulnerabilidades de día cero que afectan a 20 millones de dispositivos empresariales

Más de 20 millones de dispositivos de alimentación ininterrumpida (SAI) podrían estar en peligro por la presencia de tres vulnerabilidades de día cero.

Se trata de los dispositivos Smart-UPS de APC, una filial de Schneider Electric, pensados para entregar energía a activos de misión crítica en centros de datos, instalaciones industriales y hospitales, entre otros entornos. Los últimos modelos usan una conexión en la nube para la gestión remota.

El fallo de seguridad ha sido descubierto por Armis, que advierte sobre la posibilidad de que los ciberdelincuentes acaben ganando control para desactivar, interrumpir y destruir los equipos afectados y activos conectados a ellos.

“Hasta hace poco, los activos, como los dispositivos SAI, no se percibían como pasivos de seguridad. Sin embargo, ha quedado claro que los mecanismos de seguridad en los dispositivos gestionados de forma remota no se han implementado adecuadamente, lo que significa que los actores maliciosos podrán utilizar esos activos vulnerables como vector de ataque”, indica Barak Hadad, jefe de investigación de Armis.

Hadad remarca que “es vital que los profesionales de la seguridad tengan una visibilidad completa de todos los activos, junto con la capacidad de supervisar su comportamiento, para identificar los intentos de explotación de vulnerabilidades como TLStorm”.

TLStorm es el nombre que reciben las tres vulnerabilidades descubiertas y no requieren la interacción del usuario. Dos de ellas son vulnerabilidades en la implementación de TLS utilizada por los dispositivos conectados a la nube, consideradas críticas, y la otra es un fallo grave de diseño por el que las actualizaciones de firmware no están correctamente validadas.

Los errores que afectan a la conexión TLS entre el SAI y la nube de Schneider Electric son CVE-2022-22805, un desbordamiento del búfer de TLS o fallo de corrupción de memoria en el reensamblaje de paquetes, y CVE-2022-22806, que se identifica como evasión de la autenticación. Una confusión de estado en el handshake de TLS termina conduciendo a la ejecución remota de código a través de una actualización del firmware de la red.

Armis explica que los dispositivos con función SmartConnect establecen una conexión automática y que los atacantes pueden aprovecharse de paquetes de red no autenticados.

El fallo de diseño CVE-2022-0715, por el cual las actualizaciones de firmware no están firmadas criptográficamente de forma segura, permite crear un firmware malicioso e instalarlo usando internet, la LAN o una unidad USB. El firmware modificado podría permitir una persistencia duradera en los dispositivos para ataques adicionales.

Schneider Electric ya ha emitido parches para solucionar todos estos errores. De momento no hay indicios de que TLStorm haya conseguido ser explotado.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

1 día ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

2 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

2 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

2 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

2 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

2 días ago