Sono state pubblicate recentemente 3 vulnerabilità (chiamate TLStorm) ad alta criticità nei dispositivi APCSmart-UPS che potrebbero essere sfruttate come arma fisica per accedervi remotamente, averne il pieno controllo, ed effettuare sugli stessi dispositivi dei veri e propri attacchi cyber-fisici:
CVE-2022-22805 (CVSS score: 9.0)
CVE-2022-22806 (CVSS score: 9.0)
CVE-2022-0715 (CVSS score: 8.9)
Le vulnerabilità non sono assolutamente da sottovalutare perché i dispositivi di continuità (UPS) forniscono alimentazione di emergenza in caso di assenza di elettricità e sono utilizzati sempre in ambienti mission-critical o a supporto di servizi vitali per le aziende. La maggior parte dei dispositivi interessati, per un totale di oltre 20 milioni, è stata finora identificata prevalentemente nei settori sanitario, retail, industriale e governativo.
L’attaccante potrebbe, ad esempio, bypassare la protezione del software, lasciar continuare i picchi di corrente per aumentare la temperatura del dispositivo e giungere quindi all’esplosione del condensatore e il conseguente blocco dell’UPS. Inoltre, il difetto nel meccanismo di aggiornamento del firmware potrebbe essere sfruttato per impiantare un aggiornamento malevolo sui dispositivi UPS, consentendo agli attaccanti di rimanere persistenti e nascosti nel dispositivo.
Schneider Electric ha rilasciato le correzioni nell’ambito del Patch Tuesday dell’8 marzo 2022. Si consiglia vivamente di verificare il proprio ambiente einstallare gli aggiornamenti forniti per ridurre il rischio di sfruttamento delle relative vulnerabilità.