Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hogar
Aug 15, 2023
Los investigadores descubren vulnerabilidades en APC Smart
Getty Images/iStockphoto Un trío de vulnerabilidades de seguridad recientemente reveladas plantean serias amenazas a los dispositivos de respaldo de energía, incluido posible daño físico. Investigadores de la empresa de seguridad de IoT
Getty Images/iStockphoto
Un trío de vulnerabilidades de seguridad recientemente reveladas plantean serias amenazas a los dispositivos de respaldo de energía, incluido posible daño físico.
Investigadores de la empresa de seguridad de IoT Armis descubrieron e informaron tres fallas de seguridad incluidas en la lista CVE, denominadas TLStorm, que incluyen la ejecución remota de código en cajas de suministro de energía ininterrumpida (UPS) fabricadas por APC.
Los errores se enumeran como CVE-2022-22806, CVE-2022-22805 y CVE-2022-0715 y abordan fallas de seguridad en la actualización del firmware, la omisión de autenticación y el desbordamiento del búfer. La falla más grave podría permitir la toma remota del dispositivo y potencialmente cambiar la configuración del hardware para crear un riesgo de incendio físico.
Si bien los dispositivos UPS generalmente no estarían expuestos a la Internet abierta, los dispositivos Smart-UPS de APC son especialmente vulnerables porque cuentan con un portal de administración basado en web. Debido a esto, los investigadores de Armis dicen que los errores son realmente explotables de forma remota y pueden usarse para ataques por parte de agresores remotos.
La más grave de las fallas es CVE-2022-0715, una falla que permite a un atacante remoto enviar actualizaciones de firmware sin autorización. Si el atacante pudiera sobrescribir el firmware de un UPS, podría cambiar la configuración crítica del hardware y provocar que el dispositivo se sobrecaliente. "Ilustrando el efecto ciberfísico del ataque TLStorm, los investigadores de Armis pudieron dañar un Smart-UPS a través de la red sin interacción del usuario", dice el informe de TLStorm.
Quizás aún más preocupante sea la capacidad del atacante de utilizar el UPS comprometido como punto de apoyo para obtener mayor acceso a la red. Como las cajas UPS se administran a través de una interfaz web, el atacante podría manipular el UPS para luego contactar con otros sistemas en la red.
Barak Hadad, jefe de investigación de Armis, dijo a SearchSecurity que el riesgo dependerá de cómo cada empresa haya configurado su red y la ubicación del UPS.
"Dado que los dispositivos UPS suelen ser responsables de la alimentación de los dispositivos de misión crítica, desconectar el UPS también desactiva el dispositivo que está conectado a él y puede tener graves implicaciones", explicó Hadad.
"Además de eso, el UPS a menudo está conectado a la misma red interna que los dispositivos que dependen de él, y un atacante puede usarlo para moverse lateralmente en la red interna usando el UPS como puerta de enlace".
Mientras tanto, las vulnerabilidades CVE-2022-22806 y CVE-2022-22805 abordan las vulnerabilidades de omisión de autenticación y desbordamiento del búfer, respectivamente. En ambos casos, un paquete TLS especialmente diseñado podría permitir al atacante obtener la ejecución remota de código en el dispositivo UPS.
Los investigadores de Armis señalaron que las fallas ilustran cómo las cajas UPS, que generalmente no se consideran un riesgo de seguridad o una prioridad de actualización, pueden convertirse en vectores de ataque, gracias a la introducción de funciones de administración remota.
El equipo incluso hizo referencia a Hollywood en su informe.
"El hecho de que los dispositivos UPS regulen la energía de alto voltaje, combinado con su conectividad a Internet, los convierte en un objetivo ciberfísico de alto valor. En la serie de televisión Mr. Robot, los malos actores causan una explosión utilizando un dispositivo UPS de APC", dice el informe. . "Sin embargo, esto ya no es un ataque ficticio. Al explotar estas vulnerabilidades en el laboratorio, los investigadores de Armis pudieron encender de forma remota un dispositivo Smart-UPS y hacerlo literalmente esfumarse".
Armis dijo que reveló las vulnerabilidades de TLStorm a la empresa matriz de APC, Schneider Electric, el 31 de octubre de 2021 y trabajó con la empresa para crear parches para dispositivos Smart-UPS, que ahora están disponibles. Schneider Electric publicó un aviso de seguridad el martes que detalla los productos afectados y las actualizaciones de seguridad.
Armis recomendó que los administradores se conecten con Schneider Electric para asegurarse de que sus sistemas UPS estén actualizados con el firmware más reciente. Además de corregir las fallas de TLStorm, Armis también instó a los usuarios a cambiar las contraseñas predeterminadas para los vehículos de administración de red en dispositivos Smart-UPS y verificar sus políticas de acceso a la red para protegerse de posibles atacantes.