Estas vulnerabilidades permitiam que um hacker pudesse ganhar controlo de dispositivos Smart-UPS através da internet, sem interação do utilizador, resultando na sobrecarga dos UPS e podendo mesmo destruir os dispositivos.
A causa principal para estas vulnerabilidades é a utilização indevida do NanoSSL, uma biblioteca popular da TLS, criada pela Mocana. Usando a base de conhecimento da Armis – uma base de dados composta por mais de dois mil milhões de ativos – os investigadores da empresa encontraram dezenas de dispositivos que utilizam a biblioteca NanoSSL da Mocana.
As descobertas incluíram não só os Smart-UPS da APC, mas também dois fornecedores populares de switches de rede que estão a ser afetados por uma falha de implementação similar da biblioteca. Enquanto os dispositivos UPS e os switches de rede diferem em função e nível de confiança dentro da organização, os problemas de implementação TLS subjacentes podem levar a consequências devastadoras.
O novo estudo TLStorm 2.0 expõe vulnerabilidades que podem permitir a um atacante assumir o controlo total de switches de rede utilizados em aeroportos, hospitais, hotéis e outras organizações em todo o mundo. Os fornecedores afetados são a Aruba (adquirida pela HP) e a Avaya Networking (adquirida pela ExtremeNetworks).
A Armis descobriu que ambos os vendedores têm switches que contêm vulnerabilidades remote code execution (RCE ou execução de código remoto, em tradução livre), que podem ser exploradas através da rede, levando a:
- Quebra da segmentação da rede, permitindo o movimento lateral de dispositivos adicionais ao alterar o comportamento do switch
- Filtragem de dados do tráfego e informação sensível da rede corporativa através da rede interna que se liga à Internet
- Fuga cativa do portal
Os resultados da investigação são significativos visto que salientam que a infraestrutura da rede pode estar em risco e ser explorada por atacantes, levando a que a segmentação da rede não seja suficiente, por si só, como uma medida de segurança.
“A pesquisa feita pela Armis tem um propósito simples: identificar ameaças de segurança emergentes para proporcionar aos nossos clientes uma proteção contínua e em tempo real”, refere Barak Hadad, Head of Research da Armis. “O conjunto de vulnerabilidades TLStorm são um exemplo claro de ameaças a ativos que não costumam estar visíveis para a maior parte das soluções de segurança, mostrando que a segmentação de rede não é já uma mitigação suficiente e que é essencial apostar na monitorização proativa da rede. Os investigadores da Armis vão continuar a explorar os ativos que se encontram em todos os ambientes para ter a certeza de que a nossa base de conhecimento de mais de dois mil milhões de dispositivos está a partilhar as mais recentes mitigações de ameaças de todos os nossos parceiros e clientes”.
