บั๊กช่องโหว่ Zero-Dayของ APC UPS สามารถปิดอุปกรณ์จากระยะไกลได้
15 มีนาคม 2565
ในสัปดาห์ที่ผ่านมา พบสามช่องโหว่ zero-day บน คลาวด์ TLStorm ทำให้แฮกเกอร์สามารควมคุม UPS APC เป็นบริษัทย่อยของ ชไนเดอร์ อิเล็คทริคโดยช่องโหว่ที่เกิดขึ้นมีผลกระทบต่อระบบ APC Smart-UPS ที่ใช่กันอย่างแพร่หลายในหลายๆ องค์กรทั้งภาครัฐ,องค์กรสาธารณสุข และองค์กรไอที
โดยนักวิจัยของ Armis ที่ให้บริการโซลูชั่นด้านความปลอดภัยสำหรับอุปกรณ์ที่ เชื่อมต่อภายในองค์กรพบ 3 ช่องโหว่ที่เกิดขึ้นในอุปกรณ์ SMART CONNECT และ Smart-UPS โดยช่องโหว่ CVE-2022-22805 และ CVE-2022-22806 เป็นช่องโหว่เกี่ยวกับ TLS (Transport Layer Security) ซึ่งเป็นมาตรฐานการเชื่อมต่อกับอุปกรณ์ SMART-UPS ด้วยโปรแกรม SMART Connect ในระบบการจัดการคลาวด์ของชไนเดอร์ อิเล็คทริค
ในขณะที่ช่องโหว่ CVE-2022-0715 เกี่ยวข้องกับเฟิร์มแวร์ของอุปกรณ์ APC SMART-UPS เกือบทั้งหมดซึ่งไม่มีการเข้ารหัสและไม่สามารถตรวจสอบความถูกต้องเมื่อติดตั้งอุปกรณ์บนระบบ
แม้ว่าเฟิร์มแวร์จะมีการเข้ารหัสไว้แต่ก็ปราศจาก cryptographic
signature ส่งผลให้ผู้บุกรุกสามารถสร้าง malicious version ของ cryptographic signature เพื่ออัพเดทเขาไปที่ UPS เป้าหมายและทำให้สามารถเรียกใช้คำสั่งจากระยะไกลเพื่อโจมตี UPS ได้
คำแนะนำในการแก้ไข
1. ติดตั้งแพตช์ซึ่งเผยแพร่บนเว็บไซต์ของชไนเดอร์ อิเล็คทริค
2. ถ้าใช้งาน NMC ให้เปลี่ยนรหัสผ่านตั้งต้น (“apc”) และติดตั้ง SSL Certificate เพื่อป้องกันมิให้ผู้โจมตีสามารถดักจับรหัสผ่านใหม่ได้ หากต้องการจำกัดการโจมตีของ NMC ให้ศึกษาคู่มือด่านความปลอดภัยทางไซเบอร์ของชไนเดอร์ อิเล็คทริค
3. จัดทำ access control lists (ACLs) ในแต่ละอุปกรณ์ UPS โดยยินยอมให้มีการสื่อสารระหว่างระบบจัดการกับ Schneider Electric Cloud ผ่านการเข้ารหัสเท่านั้น