Gruppi di continuità (UPS): un ulteriore potenziale vettore di attacco

User:Colin / Wikimedia Commons / CC BY-SA 4.0

Avete capito bene: stiamo parlando di Uninterruptible Power Supplies, ovvero quegli utilissimi dispositivi che ci permettono di non subire interruzioni e sbalzi di elettricità in quanto incorporano una batteria e/o uno stabilizzatore di tensione. Questo genere di apparecchi, nonostante la massiccia diffusione di laptop la cui batteria interna ne svolge parte del ruolo, ha un mercato decisamente florido e in crescita anche grazie al loro ruolo fondamentale all’interno di data center e uffici di tutte le dimensioni.

Questi dispositivi, come già familiare per chi ne possiede uno in casa, non sono tipicamente oggetto di interazione abituale in quanto svolgono il loro compito in piena autonomia e, quindi, è facile dimenticarsene completamente dell’esistenza se non quando entrano in funzione e ci hanno appena protetto da un’interruzione o sbalzo elettrico oppure è arrivato il momento di sostituirne le batterie.

Ciò che si può intuire è che, come tanti altri dispositivi plug and play, non sempre chi lo acquista investe del tempo per verificarne la configurazione, accedere a una web gui e verificarne le credenziali, dal momento che il dispositivo è spesso già funzionante senza intraprendere gli step appena menzionati.

Avrete sicuramente già colto dove stiamo andando a parare, dal momento che stiamo parlando di interfaccia web, perché, esattamente come accade per i nostri familiari router domestici, le credenziali di partenza per accedere a tali interfacce web di gestione del dispositivo rimangono spesso inalterate da parte dell’amministratore e sono, senza dubbio, un ulteriore vettore d’attacco.

Arriva dal CISA (Cybersecurity and Infrastructure Security Agency) la conferma di alcuni attacchi o tentativi di attacco che prendono proprio di mira tali interfacce che, alla fine della fiera, rappresentano nulla di diverso da un altro host sulla nostra rete e per il quale CISA stessa raccomanda anche di attivare la 2FA (si, anche per l’UPS).

Non finisce, però, qui: sono state individuate tre vulnerabilità che riguardano UPS prodotti dalla nota azienda APC, catalogate come CVE-2022-22805, CVE-2022-22806, CVE-2022-0715 e battezzate come attacchi TLStorm.

Spiega Barak Hadad, il capo dei ricercatori di Armis:

An attacker just needs to intercept the TLS connection from the UPS to the APC cloud. On the same network it can be done using arp poisoning, DNS poisoning or any other MITM (Man in the middle) technique. On the internet, DNS cache poisoning is the most common way of initiating these types of attacks. Once the attacker intercepts the connection, executing code over the UPS is trivial using a malicious firmware upgrade

Un attaccante deve solo intercettare la connessione TLS dell’UPS verso il cloud APC. Sulla stessa rete questo può essere fatto usando poisoning arp, poisoning DNS o qualunque altra tecnica MITM (man in the middle). Su internet, il poisoning della cache DNS è il modo più comune di avviare attacchi di questo tipo. Una volta che l’attaccante intercetta la connessione, l’esecuzione di codice sull’UPS è banale usando un upgrade malevolo del firmware.

In sintesi, viene intercettata la connessione TLS dall’UPS al Cloud nel momento in cui l’UPS prova a connettervisi. L’attacco si può svolgere tramite attacchi man in the middle come arp poisoning, dns poisoning o simili. Una volta intercettata la connessione, viene eseguito un upgrade del firmware che lo sostituisce con una versione infetta, modificata in modo tale da consentire l’esecuzione di codice arbitrario. Arrivati a questo punto, il limite è solo l’immaginazione, dal momento che l’attaccante è dentro la nostra rete e potrebbe usare l’UPS per gli scopi più disparati.

Attacchi TLStorm hanno coinvolto anche altri brand e altre tipologie di dispositivi e, quindi, rimane valida la solita raccomandazione di trattare tutto ciò che è nella nostra infrastruttura come se fosse un vero e proprio computer, dal momento che la nostra epoca è quella in cui tutto, ma proprio tutto, vorrebbe connettersi a Internet per interfacciarsi con server esterni.

Tags: , ,