Descubren una serie de vulnerabilidades de día cero que afectan a 20 millones de dispositivos empresariales

Más de 20 millones de dispositivos de alimentación ininterrumpida (SAI) podrían estar en peligro por la presencia de tres vulnerabilidades de día cero.

Se trata de los dispositivos Smart-UPS de APC, una filial de Schneider Electric, pensados para entregar energía a activos de misión crítica en centros de datos, instalaciones industriales y hospitales, entre otros entornos. Los últimos modelos usan una conexión en la nube para la gestión remota.

El fallo de seguridad ha sido descubierto por Armis, que advierte sobre la posibilidad de que los ciberdelincuentes acaben ganando control para desactivar, interrumpir y destruir los equipos afectados y activos conectados a ellos.

“Hasta hace poco, los activos, como los dispositivos SAI, no se percibían como pasivos de seguridad. Sin embargo, ha quedado claro que los mecanismos de seguridad en los dispositivos gestionados de forma remota no se han implementado adecuadamente, lo que significa que los actores maliciosos podrán utilizar esos activos vulnerables como vector de ataque”, indica Barak Hadad, jefe de investigación de Armis.

Hadad remarca que “es vital que los profesionales de la seguridad tengan una visibilidad completa de todos los activos, junto con la capacidad de supervisar su comportamiento, para identificar los intentos de explotación de vulnerabilidades como TLStorm”.

TLStorm es el nombre que reciben las tres vulnerabilidades descubiertas y no requieren la interacción del usuario. Dos de ellas son vulnerabilidades en la implementación de TLS utilizada por los dispositivos conectados a la nube, consideradas críticas, y la otra es un fallo grave de diseño por el que las actualizaciones de firmware no están correctamente validadas.

Los errores que afectan a la conexión TLS entre el SAI y la nube de Schneider Electric son CVE-2022-22805, un desbordamiento del búfer de TLS o fallo de corrupción de memoria en el reensamblaje de paquetes, y CVE-2022-22806, que se identifica como evasión de la autenticación. Una confusión de estado en el handshake de TLS termina conduciendo a la ejecución remota de código a través de una actualización del firmware de la red.

Armis explica que los dispositivos con función SmartConnect establecen una conexión automática y que los atacantes pueden aprovecharse de paquetes de red no autenticados.

El fallo de diseño CVE-2022-0715, por el cual las actualizaciones de firmware no están firmadas criptográficamente de forma segura, permite crear un firmware malicioso e instalarlo usando internet, la LAN o una unidad USB. El firmware modificado podría permitir una persistencia duradera en los dispositivos para ataques adicionales.

Schneider Electric ya ha emitido parches para solucionar todos estos errores. De momento no hay indicios de que TLStorm haya conseguido ser explotado.