Эксплойты TLStorm подвергают захвату более 20 миллионов единиц ИБП. Ваш был одним из них?


По словам Армиса, источники бесперебойного питания марки APC уязвимы для трех эксплойтов нулевого дня, которые могут позволить злоумышленнику физически повредить ИБП и подключенное к нему оборудование.

Три уязвимости нулевого дня, обнаруженные в источниках бесперебойного питания (ИБП) марки Schneider Electrical APC, могут позволить злоумышленнику не только закрепиться в сети устройства, но даже потенциально «отключить, нарушить работу и уничтожить» ИБП и подключенные к нему активы. Пострадало более 20 миллионов устройств.

Три уязвимости были названы «TLStorm» исследователями компании Armis, занимающейся безопасностью Интернета вещей, которые ее обнаружили. По словам руководителя отдела исследований Armis Барака Хадада, эксплойты появляются в то время, когда даже наименее вероятное из устройств имеет подключение к Интернету, что превращает его в потенциальную угрозу.

«До недавнего времени активы, такие как устройства бесперебойного питания, не воспринимались как залоговые обязательства. Однако стало ясно, что механизмы безопасности в удаленно управляемых устройствах не реализованы должным образом, а это означает, что злоумышленники смогут использовать эти уязвимые активы в качестве вектора атаки», — сказал Хадад.

ВИДЕТЬ: Взлом пароля: почему поп-культура и пароли несовместимы (бесплатный PDF) (ТехРеспублика)

Armis заявила, что изучает уязвимости APC Good-UPS в рамках своей попытки глубже понять угрозу, которую представляют различные активы, подключенные к Интернету. Из-за их широкого использования в средах заказчиков блоки APC Good-UPS были очевидным выбором.

Как ваш ИБП APC может быть скомпрометирован

Исследователи компании Armis обнаружили в устройствах APC Good-UPS три отдельные уязвимости нулевого дня, каждая из которых имеет собственный номер CVE:

Оба эксплойта TLS запускаются с использованием сетевых пакетов, не прошедших проверку подлинности, а третий требует от злоумышленника создания вредоносного обновления прошивки, запускающего его установку через Интернет, подключение к локальной сети или с помощью флэш-накопителя. Это возможно, потому что на уязвимых устройствах обновления встроенного ПО не криптографически подписаны безопасным способом.

Армис отмечает, что злоупотребление механизмами обновления прошивки «становится стандартной практикой APT» и уже было задокументировано в предыдущих атаках. По словам Армиса, модифицированные обновления встроенного ПО — это метод, который злоумышленники используют для обеспечения постоянства, и на таком незаметном устройстве, как ИБП, это дает злоумышленнику шанс построить оплот.

Защита ваших сетей от TLStorm

Сейчас, когда затронуто более 20 миллионов устройств, рекомендуется уделить время оценке того, затронуты ли ваши ИБП APC. Schneider Electrical сообщила в бюллетене по безопасности, что затронуты устройства серии SMT, SMC, SMX, SCL, SMTL и SRT, и предоставила дополнительные сведения об идентификации ваших моделей и версии прошивки.

ВИДЕТЬ: Google Chrome: советы по безопасности и пользовательскому интерфейсу, которые вам нужно знать (ТехРеспублика Премиум)

Если ваши устройства затронуты, важно как можно скорее обновить их прошивку. И Schneider Electrical, и Армис заявили, что нет никаких доказательств того, что эти уязвимости были использованы, но теперь, когда они были раскрыты, злоумышленники могут начать их использовать и действовать соответствующим образом.

https://cyberxhack.org/