TLStorm 2.0: Neue Schwachstellen in Netzwerk-Switches von APC Smart UPS aufgedeckt
TLStorm 2.0: Neue Schwachstellen in Netzwerk-Switches von APC Smart UPS aufgedeckt
Nach der Entdeckung der TLStorm-Schwachstellen in APC Smart-UPS-Geräten haben Armis-Forscher einen neuen Satz von fünf Schwachstellen entdeckt, die als TLStorm 2.0 bezeichnet werden. Diese Schwachstellen wurden bei der Implementierung der TLS-Kommunikation in mehreren Modellen von Aruba (von HP übernommen) und Avaya (von ExtremeNetworks übernommen) Netzwerk-Switches gefunden. Die Hauptursache für diese Schwachstellen war ein Missbrauch von NanoSSL, einer beliebten TLS-Bibliothek von Mocana.
Ausnutzung von TLStorm 2.0-Schwachstellen
Die Ausnutzung der TLStorm 2.0-Schwachstellen kann schwerwiegende Folgen haben, darunter befinden sich u. a.:
- das Aufbrechen der Netzwerksegmentierung, so dass durch Änderung des Verhaltens des Switches ein Übergreifen auf weitere Geräte möglich ist
- Möglichkeit der Datenexfiltration von Unternehmensnetzwerkverkehr oder sensiblen Informationen aus dem internen Netzwerk in das Internet
- Ausbruch aus dem Captive Portal
Diese Schwachstellen setzen die Netzwerkinfrastruktur Angreifern aus, gefährden die Netzwerksegmentierung und machen deutlich, dass stärkere Sicherheitsmaßnahmen erforderlich sind.
APC Smart-UPS TLStorm Sicherheitslücken im Einzelnen
- CVE-2022-22806 - TLS-Authentifizierungsumgehung: Eine Zustandsverwirrung im TLS-Handshake führt zu einer Umgehung der Authentifizierung, was zu einer Remotecodeausführung (RCE) unter Verwendung eines Netzwerk-Firmware-Upgrades führt.
- CVE-2022-22805 - TLS-Pufferüberlauf: Ein Fehler bei der Beschädigung des Speichers bei der Wiederzusammensetzung von Paketen (RCE).
- CVE-2022-0715 - Unsigniertes Firmware-Upgrade, das über das Netzwerk aktualisiert werden kann (RCE).
Diese Schwachstellen können aus der Ferne ohne jegliche Benutzerinteraktion ausgenutzt werden, was die Notwendigkeit sofortiger Maßnahmen zum Schutz der betroffenen Geräte unterstreicht.
Behebung und Entschärfung der TLStorm-Schwachstellen
Armis informierte Schneider Electric am 31. Oktober 2021 über die TLStorm-Schwachstellen und arbeitete mit dem Unternehmen zusammen, um einen Patch zu erstellen und zu testen, der jetzt allgemein verfügbar ist. Um Ihre USV-Geräte zu schützen und das Risiko eines Angriffs zu mindern, empfiehlt Armis die folgenden Schritte:
- Installieren Sie die auf der Schneider Electric-Website verfügbaren Patches.
- Ändern Sie für Benutzer der Network Management Card (NMC) das Standard-NMC-Passwort ("apc") und installieren Sie ein öffentlich signiertes SSL-Zertifikat, um zu verhindern, dass Angreifer das neue Passwort abfangen können.
- Lesen Sie das Schneider Electric Sicherheitshandbuch für NMC 2 und NMC 3, um die Angriffsfläche für Ihre NMC weiter einzuschränken.
- Setzen Sie Zugriffskontrolllisten (ACLs) ein, die es USV-Geräten erlauben, nur mit einer begrenzten Anzahl von Managementgeräten und der Schneider Electric Cloud über verschlüsselte Kommunikation zu kommunizieren.
Warum die Behebung von Schwachstellen in Cyber-Physical-Systemen so wichtig ist
Die zunehmende Einführung von IoT und Cyber-Physical Systems (CPS) hat neue Ziele für Angreifer geschaffen. Diese Systeme, die Geräte mit realen Interaktionen betreiben, sind in verschiedenen Umgebungen wie Serverräumen, medizinischen Einrichtungen, OT/ICS-Umgebungen und Wohnhäusern unverzichtbar. Die zerstörerischen Auswirkungen netzwerkbasierter Angriffe, die zu Schäden in der realen Welt führen, sind nicht mehr nur theoretisch. So führte beispielsweise der Angriff auf ein deutsches Stahlwerk im Jahr 2014 zu einer massiven Explosion, weil ein Abschaltmechanismus eines Hochofens manipuliert wurde.
Die TLStorm-Schwachstellen
Die TLStorm-Schwachstellen lassen sich auf eine Reihe von Konstruktionsfehlern und eine unsachgemäße Fehlerbehandlung in der TLS-Implementierung der betroffenen Smart-UPS-Geräte zurückführen.
Sicherheitslücke beim Firmware-Upgrade (CVE-2022-0715)
Die Firmware-Upgrade-Schwachstelle (CVE-2022-0715) ermöglicht es einem Angreifer, unsignierte Firmware auf die USV-Geräte hochzuladen und so Remotecodeausführung zu ermöglichen. Dies ist möglich, da die USV-Geräte die Authentizität der Firmware vor der Installation nicht überprüfen. Der Firmware-Upgrade-Prozess kann per Fernzugriff über das Netzwerk eingeleitet werden, und eine erfolgreiche Ausnutzung dieser Schwachstelle kann zu einer vollständigen Übernahme des USV-Geräts führen.
TLS-Schwachstellen (CVE-2022-22805 und CVE-2022-22806)
CVE-2022-22805 ist eine Pufferüberlaufschwachstelle in der Funktion zur Neuzusammenstellung von Paketen der NanoSSL-Bibliothek. Die Schwachstelle wird durch einen fehlerhaften TLS-Datensatz ausgelöst, der bei der Verarbeitung zu einer Beschädigung des Speichers und einer möglichen entfernten Codeausführung führt.
CVE-2022-22806 ist eine Zustandsverwirrungsschwachstelle im TLS-Handshake. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er einen bestimmten Satz von TLS-Nachrichten sendet, was dazu führen kann, dass der TLS-Handshake ohne ordnungsgemäße Authentifizierung abgeschlossen wird. Diese Umgehung der Authentifizierung kann es einem Angreifer ermöglichen, eine verschlüsselte Sitzung mit dem USV-Gerät aufzubauen und ein Remote-Firmware-Upgrade durchzuführen, was zu einer Remote-Codeausführung führt.
Empfehlungen für die zukünftige Sicherheit von Cyber-Physical Systems
Um cyber-physische Systeme besser vor Bedrohungen wie TLStorm zu schützen, sollten Unternehmen den Experten von Armis zufFolge die folgenden Strategien in Betracht ziehen:
- Einführung eines Zero-Trust-Sicherheitsmodells: Gehen Sie davon aus, dass jedes Gerät oder System kompromittiert werden kann, und schränken Sie den Zugriff und die Berechtigungen nach dem Prinzip der geringsten Berechtigung ein.
- Netzwerksegmentierung anwenden: Unterteilen Sie Netzwerke in kleinere, isolierte Zonen, um die Ausbreitung von Angriffen zu begrenzen und das Risiko von Seitwärtsbewegungen zu verringern.
- kontinuierliche Überwachung und Erkennung von Bedrohungen implementieren: Nutzen Sie Überwachungstools und Bedrohungsdaten, um potenzielle Bedrohungen proaktiv zu erkennen und zu bekämpfen.
- Regelmäßige Updates und Patches für Geräte: Stellen Sie sicher, dass die Geräte regelmäßig Firmware-Updates und Sicherheits-Patches erhalten, um bekannte Schwachstellen zu beheben.
- Mitarbeiter ausbilden und schulen: Bieten Sie Ihren Mitarbeitern fortlaufende Schulungen zu bewährten Verfahren der Cybersicherheit und zu den neuesten Bedrohungen an, um das Bewusstsein zu schärfen und die allgemeine Sicherheitslage zu verbessern.
Mit der zunehmenden Verbreitung von IoT- und cyber-physischen Systemen sei es für Unternehmen unerlässlich, der Sicherheit Priorität einzuräumen und gegenüber potenziellen Bedrohungen wachsam zu sein. Indem sie bewährte Verfahren befolgen und proaktiv bleiben, könnten Unternehmen ihre kritische Infrastruktur besser schützen und das Risiko von Angriffen wie TLStorm verringern.