Tre vulnerabilità zero-day, ribattezzate TLStorm e identificate nei gruppi di continuità APC Smart-UPS della Schneider Electric, potrebbero consentire controlli remoti e anche potenzialmente la disabilitazione e distruzione degli UPS e persino delle risorse collegate.
In questo modo, un attaccante potrebbe causare danni sia informatici sia fisici particolarmente elevati, soprattutto se i target sono infrastrutture critiche.
Indice degli argomenti
Perché le vulnerabilità TLStorm sono critiche
I gruppi di continuità (UPS), lo ricordiamo, sono dispositivi che offrono protezione contro la sovratensione e garantiscono, per un determinato lasso di tempo, l’erogazione dell’alimentazione in caso di blackout elettrici, attraverso l’impiego di batterie integrate.
In particolare, i dispositivi in oggetto esposti alle tre vulnerabilità TLStorm sono comunemente usati per fornire alimentazione di emergenza nelle cosiddette “risorse mission-critical”, dove un’interruzione di corrente e l’impossibilità di proseguire con l’erogazione dei servizi potrebbero provocare gravi danni non solo alle cose ma anche alle persone: si pensi, ad esempio, agli impieghi in strutture mediche, sale server e ambienti industriali.
Poiché in passato si sono già verificati attacchi contro la rete elettrica in cui vari tipi di dispositivi, UPS compresi, sono stati violati da remoto portando a interruzioni di corrente su larga scala, la necessità di agire e proteggere questa tipologia di dispositivi da potenziali attacchi risulta prioritaria soprattutto in questo periodo di crisi internazionale correlata al conflitto russo-ucraino.
I dettagli delle vulnerabilità TLStorm
Le tre vulnerabilità TLStorm sono state scoperte dai ricercatori della società di sicurezza IoT Armis e identificate con i seguenti numeri CVE:
- CVE-2022-22805: un overflow del buffer TLS;
- CVE-2022-22086: un bypass di autenticazione TLS;
- CVE-2022-0715: un bug del firmware non firmato.
Mentre i primi due exploit che coinvolgono la connessione TLS (Transport Layer Security) tra l’UPS e la relativa piattaforma cloud per il controllo potrebbero essere attivati utilizzando pacchetti di rete non autenticati, senza alcun coinvolgimento da parte degli utenti (si parla di “attacco ZeroClick”), il terzo bug sui firmware richiederebbe all’attaccante di creare un aggiornamento malevolo del firmware stesso, attivando un’installazione tramite Internet, una connessione LAN o utilizzando una pendrive USB, sfruttando il fatto che per i firmware di questi UPS non sono previsti aggiornamenti firmati e crittografati.
Il video dimostrativo dell’exploit
Il video demo, pubblicato dagli stessi ricercatori, mostra come gli APC Smart-UPS, non aggiornati alla versione del firmware più recente, potrebbero essere attaccati in modalità remota:
- gli aggressori veicolano un firmware modificato che altera il comportamento del gruppo di continuità e ne permette il controllo remoto da parte di soggetti non autorizzati;
- viene tolta e ripristinata diverse volte l’alimentazione e si procede a modificare la forma d’onda della corrente alternata in uscita dall’UPS, trasformandola da segnale sinusoidale a segnale a onda quadra;
- tali condizioni di operatività causano un surriscaldamento per sovratensione tale da generare un principio d’incendio con il completo danneggiamento dell’UPS e dei sistemi ad esso connessi.
Un potenziale scenario di attacco
Poiché il vettore di attacco TLS può provenire da Internet, i malintenzionati possono utilizzare i bug nella comunicazione TLS per impersonare il cloud Schneider Electric e raccogliere informazioni sull’UPS superando i controlli di eventuali firewall aziendali.
A quel punto, aggiornando da remoto il firmware dell’UPS, il dispositivo potrebbe essere utilizzato come punto di accesso per un attacco ransomware o qualsiasi altro tipo di operazione malevola all’interno della infrastruttura di rete aziendale (la crescente adozione di dispositivi IoT e CPS- Cyber Physical Systems ha infatti notevolmente ampliato il numero degli obiettivi sensibili).
Possibili soluzioni di mitigazione
Con oltre 20 milioni di dispositivi interessati (secondo i dati pubblicati da Armis, quasi 8 aziende su 10 sarebbero attualmente esposte alle vulnerabilità TLStorm) la Schneider Electric in un comunicato di sicurezza ha informato che a essere interessati sarebbero i dispositivi della serie SMT, SMC, SMX, SCL, SMTL e SRT, fornendo ulteriori dettagli sull’identificazione di modelli e versioni firmware.
Seppure sia Schneider Electric che Armis abbiano affermato che non ci sono prove che queste vulnerabilità siano state al momento sfruttate, non è detto che ciò non possa accadere nell’imminente futuro.
Pertanto, agli utilizzatori di tutti i modelli dei dispositivi interessati non resta altro da fare che aggiornare il prima possibile i relativi firmware, limitando nel frattempo la possibilità di connessione diretta tramite LAN qualora si volessero utilizzare le varie applicazioni server integrate sugli APC Smart-UPS.
