As explorações do TLStorm expõem mais de 20 milhões de unidades UPS à aquisição. O seu foi um deles?

Fontes de alimentação ininterruptas da marca APC foram consideradas vulneráveis ​​a três explorações de dia zero que podem permitir que um invasor danifique fisicamente o no-break e os ativos conectados, disse Armis.

Três vulnerabilidades de dia zero identificadas nas fontes de alimentação ininterruptas (UPS) da marca APC da Schneider Electric podem permitir que um invasor não apenas ganhe uma posição na rede da unidade, mas até potencialmente “desative, interrompa e destrua” o UPS e os ativos conectados. Mais de 20 milhões de dispositivos são afetados.

O trio de vulnerabilidades foi apelidado de “TLStorm” pelos pesquisadores da empresa de segurança IoT Armis que o descobriu. As explorações acontecem, disse o chefe de pesquisa da Armis, Barak Hadad, em um momento em que até o menos provável dos dispositivos tem uma conexão com a Internet que o transforma em uma ameaça potencial.

“Até recentemente, ativos, como dispositivos UPS, não eram percebidos como ivos de segurança. No entanto, ficou claro que os mecanismos de segurança em dispositivos gerenciados remotamente não foram implementados adequadamente, o que significa que atores mal-intencionados poderão usar esses ativos vulneráveis ​​​​como vetor de ataque”, disse Hadad.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

A Armis disse que estava analisando as vulnerabilidades do APC Smart-UPS como parte de sua tentativa de entender melhor a ameaça representada por vários ativos conectados à Internet. Devido ao seu amplo uso nos ambientes de seus clientes, as unidades APC Smart-UPS foram uma escolha óbvia.

Como seu UPS APC pode ser comprometido

Os pesquisadores da Armis encontraram três vulnerabilidades de dia zero separadas em unidades APC Smart-UPS, cada uma com seu próprio número CVE:

Ambas as explorações de TLS são acionadas usando pacotes de rede não autenticados, enquanto a terceira exige que o invasor crie uma atualização de firmware maliciosa, desencadeando sua instalação pela Internet, uma conexão LAN ou usando um pendrive. Isso é possível porque os dispositivos afetados não têm suas atualizações de firmware assinadas criptograficamente de forma segura.

Armis observa que o abuso de mecanismos de atualização de firmware está “se tornando uma prática padrão de APTs” e já foi documentado em ataques anteriores. Atualizações de firmware modificadas são um método que os invasores usam para estabelecer persistência, disse Armis, e em um dispositivo tão despercebido quanto um UPS, dá ao invasor a chance de construir uma fortaleza.

Protegendo suas redes do TLStorm

Com mais de 20 milhões de dispositivos afetados, é uma boa ideia reservar um tempo agora para avaliar se suas unidades UPS da APC são afetadas ou não. A Schneider Electric disse em um comunicado de segurança que as séries de dispositivos SMT, SMC, SMX, SCL, SMTL e SRT são afetadas e forneceu detalhes adicionais sobre como identificar seus modelos e versão de firmware.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

Se seus dispositivos forem afetados, é essencial que você atualize o firmware deles o mais rápido possível. Tanto a Schneider Electric quanto a Armis disseram que não há evidências de que essas vulnerabilidades tenham sido exploradas, mas agora que foram divulgadas, espera-se que os invasores comecem a usá-las e ajam de acordo.