ארמיס מצאה חולשות קריטיות שחושפות מיליוני חברות בעולם לתקיפה

ארמיס, המתמחה בזיהוי ואבטחת נכסי רשת ארגוניים, הודיעה אתמול (ג') על חשיפת שלוש חולשות קריטיות במכשירי APC Smart-UPS, אשר עלולות לאפשר לתוקפים להשתלט עליהם מרחוק. במקרה של ניצול החולשות – הידועות בשם TLStorm – התוקפים יכולים לנתק, לשבש ולהרוס מכשירי APC Smart-UPS ואת המכשירים המחוברים אליהם.

רכיבי אל-פסק (UPS) מספקים גיבוי חירום למכשירים מגוונים בדטה סנטרים, במתקנים תעשייתיים, בבתי חולים ועוד. APC היא חברת-בת של שניידר אלקטריק והיא אחת הספקיות המובילות בעולם של מכשירי UPS, עם מכירות של יותר מ-20 מיליון מכשירים בעולם.

ברק חדד, ראש המחקר בארמיס. צילום: יח"צ

ברק חדד, ראש המחקר בארמיס: "עד לאחרונה, תשתיות כמו מכשירי UPS לא נחשבו סיכון אבטחתי. עם זאת, התברר שלא הוטמעו בהם מנגנוני אבטחה מספקים עבור מכשירים שמנוהלים מרחוק, והמשמעות היא שתוקפים יכולים להשתמש במכשירי ה-UPS כמשטח תקיפה. בנוסף להתקנת הPatchים, חשוב שתהיה למומחי אבטחה תמונת רשת של כל הנכסים בארגון, יחד עם היכולת לבקר את ההתנהגות שלהם כדי לזהות ניסיונות ניצול של חולשות כמו TLStorm".

זיהוי ומניעת סיכוני אבטחה

ארמיס חוקרת ומנתחת מגוון מכשירים נפוצים, כדי לסייע למנהלי אבטחה להגן על ארגוניהם מפני איומים. לצורך המחקר הזה, ארמיס חקרה מכשירי APC Smart-UPS – מכשירי ה-UPS החדישים ביותר של APC אשר משתמשים בחיבור ענן לניהול מרחוק. החוקרים בארמיס מצאו שתוקף שינצל את חולשות ה- TLStorm יוכל להשתלט מרחוק על מכשירים דרך האינטרנט, ללא צורך באינטראקציה עם משתמש.

החולשות שנחשפו כוללות שתי חולשות קריטיות במימוש של TLS, שנעשה במכשירי Smart-UPS מחוברי ענן, וחולשה שלישית שנובעת מבעיית תכנון והיא ששדרוגי הקושחה (firmware upgrades) של מרבית מכשירי ה-Smart-UPS לא עוברים אימות קריפטוגרפי כראוי.

בשתי החולשות בחיבור ה-TLS בין מכשירי ה-UPS לבין הענן של שניידר אלקטריק המכשירים הפגיעים הם רכיבי ה-UPS שתומכים ביישום SmartConnect. רכיבים אלה יוצרים באופן אוטומטי חיבור TLS ברגע ההפעלה, או כאשר אובד החיבור לענן. תוקפים יכולים לנצל את החולשות דרך האינטרנט ללא כל צורך באימות או אינטראקציה עם המשתמש.

החולשה השלישית היא תקלה בתכנון המוצר, שבמסגרתה עדכוני קושחה במכשירים האמורים לא נחתמים קריפטוגרפית באופן בטיחותי. כתוצאה, תוקף יכול ליצור קושחה זדונית ולהתקין אותה במספר דרכים, כולל דרך האינטרנט, LAN, או דיסק און קי (USB). הקושחה הזדונית יכולה לאפשר לתוקפים נגישות ארוכת טווח למכשירי UPS, ולהשתמש בנגישות הזו לביצוע התקפות נוספות ברשת.

ניצול חולשות במנגנוני עדכון קושחה הפך לפרקטיקה נפוצה של התקפות מתקדמות (APT – Advanced persistent threat), כפי שנכתב באריכות בניתוח של התוכנה הזדונית Cyclops Blink. המחסור בחתימת קושחה היא תקלה חוזרת במגוון מערכות. לדוגמה, חולשה שארמיס איתרה בעבר במערכות Swisslog PTS נבעה מסוג דומה של תקלה.

יבגני דיברוב, מנכ"ל ומייסד-שותף, ארמיס. צילום: יח"צ

יבגני דיברוב, מנכ"ל ומייסד-שותף, ארמיס: "חולשות TLStorm קורות במערכות אבטחה פיזיות אשר מגשרות בין העולמות הדיגיטליים והפיזיים שלנו, מה שנותן להתקפות סייבר אפשרות להשיג תוצאות בעולם האמיתי. הפלטפורמה של ארמיס מתייחסת למציאות ההיפר-מחוברת הזאת, שבה מכשיר אחד או זהות אחת המצויים בסיכון יכולים לפתוח דלת לתקיפות סייבר, ואבטחה של כל נכס נעשית משמעותית להגנה על הפעילות של העסק והמוניטין של מותג. המחקר המתמשך שלנו מאבטח ארגונים על ידי אספקה של 100% נראות של כלל הנכסים שלהם: IT, ענן, IoT, OT, IoMT, G5, ונכסי קצה".

שניידר אלקטריק עבדה בשיתוף פעולה עם ארמיס בנושא, ויחד הן יצרו עדכונים כדי לטפל בחולשות שהתגלו. למיטב ידיעתן של שתי החברות, אין אינדיקציה לכך שנעשה ניצול של חולשות TLStorm.

מומלץ לארגונים המשתמשים במכשירי APC Smart-UPS לבצע עדכון על המכשירים באופן מיידי. מידע נוסף בנושא התפרסם במדריך שפרסמה שניידר אלקטריק.

לקוחות ארמיס יכולים לזהות באופן מיידי מכשירי APC Smart-UPS רגישים בסביבות העבודה שלהם ולהתחיל בטיפול דרכה.