概述

本月早些时候，Armis在APC Smart-UPS设备中发现了三个严重漏洞，这些漏洞允许攻击者远程操控数百万台网络连接设备的电源。

有什么风险？

APC是施耐德电气的子公司，是UPS设备的主要供应商之一，全球已售出超过2000万台设备。由于这些设备存在漏洞，网络犯罪分子有能力发动针对物理设备和IT资产的毁灭性攻击。这些设备为关键资产提供紧急备用电源，存在于数据中心、工业设施、医院等地方。简单来说——网络犯罪分子有能力远程控制通过互联网连接到组织网络的设备（无需任何用户互动或攻击迹象）。

根据Armis的数据，几乎每十家公司中就有八家暴露在TLStorm漏洞中！

关于TLStorm的详细情节及所发生的事情，请访问Armis研究页面。在本文中，我们将介绍如何在Check Point + Armis的保护下保持安全。

更多关于漏洞的信息。

发现的漏洞集合包括用于云连接智能不间断电源设备的TLS实现中的两个严重漏洞，以及一个设计缺陷，即所有智能不间断电源设备的固件升级未正确签署和验证。

其中两个漏洞涉及UPS和施耐德电气云之间的TLS连接。支持SmartConnect功能的设备在启动时或在云连接暂时丢失时会自动建立TLS连接。

• TLS实现中的两个严重漏洞：
  • CVE-2022-22806 TLS 认证绕过：TLS 握手中的状态混淆导致认证绕过，从而导致远程代码执行 (RCE) 使用网络固件升级。
  • CVE-2022-22805 TLS缓冲区溢出：数据包重组（RCE）中的内存损坏错误。

这些漏洞可以通过未经身份验证的网络数据包在没有用户交互的情况下触发 (零点击攻击)。

第三个漏洞是设计缺陷，受影响设备上的固件更新没有以安全的方式进行加密签名。这意味着攻击者可以制作恶意固件，并通过互联网、局域网（LAN）或USB拇指驱动器等各种途径安装。这将允许攻击者在这些UPS设备上建立持久的持久性，从而在网络中建立一个据点，从中发动更多的攻击。

• CVE-2022-0715 可以通过网络进行升级的非签名固件更新（RCE）。

利用固件升级机制中的缺陷成为APT的标准做法，这在最近对恶意软件的分析中得到了详细说明，以及对嵌入式设备固件的不当签名是各种嵌入式系统中的重复缺陷。之前Armis在Swisslog PTS系统中发现的漏洞（PwnedPiper，CVE-2021-37160）是类似类型的缺陷的结果。

Armis于2021年10月31日向施耐德电气披露了这些漏洞。从那时起，Armis与施耐德电气合作创建并测试了一个补丁，该补丁现已普遍可用。

Check Point + Armis如何帮助您？
https://vimeo.com/660998764

Check Point和Armis之间的合作努力和对卓越的承诺，使两者成为首批为上述TLStorm漏洞提供完整端到端保护的安全供应商之一。

1. 通过Armis平台，您可以快速发现所有需要打补丁或保护免受攻击尝试的Smart-UPS设备。除了检测之外，Armis还可以提供有关设备所有者和物理位置的宝贵数据，以更快地消除安全风险。
2. Armis实时检测到攻击尝试，并将必要的信息传递给Check Point的安全设备。
3. 请继续跟踪“可疑”资产（包括新资产），以确保它们不会在任何时候成为攻击者利用的目标，从而对您的网络构成威胁。
4. 利用Check Point的自动化策略，主动隔离您的物联网/运营技术和IT网络。
5. 利用Check Point的自适应威胁预防功能（通过威胁云内置到网关中）和访问控制来减少您的攻击面。
6. 监控设备和设备通信流量，以确保连接设备仅执行它们应该执行的操作。

我现在应该采取什么行动？

Check Point和Armis将始终帮助您确保免受像TLStorm或未来可能出现的任何漏洞的威胁。

首先，Check Point和Armis很高兴地通知我们的客户，自今天起，TLStorm IPS保护可以通过Check Point Security Gateways进行更新。

以下是为保持对TLStorm的保护而需采取的一些额外步骤：

1. 安装施耐德电气网页上的可用补丁。
2. 始终实践安全密码保护。更新您的密码，确保它们不再使用默认密码。安装公钥签署的SSL证书，以便您的网络上的攻击者无法拦截新密码。为了进一步限制NMC的攻击面，请参阅施耐德电气安全手册中的 NMC 2和 NMC 3。
3. 部署访问控制列表（ACL），使UPS设备仅允许通过加密通信与一小组管理设备和施耐德电气云进行通信。