Sono state pubblicate recentemente 3 vulnerabilità (chiamate TLStorm) ad alta criticità nei dispositivi APC Smart-UPS che potrebbero essere sfruttate come arma fisica per accedervi remotamente, averne il pieno controllo, ed effettuare sugli stessi dispositivi dei veri e propri attacchi cyber-fisici:
- CVE-2022-22805 (CVSS score: 9.0)
- CVE-2022-22806 (CVSS score: 9.0)
- CVE-2022-0715 (CVSS score: 8.9)
Le vulnerabilità non sono assolutamente da sottovalutare perché i dispositivi di continuità (UPS) forniscono alimentazione di emergenza in caso di assenza di elettricità e sono utilizzati sempre in ambienti mission-critical o a supporto di servizi vitali per le aziende. La maggior parte dei dispositivi interessati, per un totale di oltre 20 milioni, è stata finora identificata prevalentemente nei settori sanitario, retail, industriale e governativo.
L’attaccante potrebbe, ad esempio, bypassare la protezione del software, lasciar continuare i picchi di corrente per aumentare la temperatura del dispositivo e giungere quindi all’esplosione del condensatore e il conseguente blocco dell’UPS. Inoltre, il difetto nel meccanismo di aggiornamento del firmware potrebbe essere sfruttato per impiantare un aggiornamento malevolo sui dispositivi UPS, consentendo agli attaccanti di rimanere persistenti e nascosti nel dispositivo.
Schneider Electric ha rilasciato le correzioni nell’ambito del Patch Tuesday dell’8 marzo 2022. Si consiglia vivamente di verificare il proprio ambiente e installare gli aggiornamenti forniti per ridurre il rischio di sfruttamento delle relative vulnerabilità.