Armis公司研究人員在APC Smart-UPS設備中發現了一組三個關鍵的零日漏洞，這些漏洞可讓遠程攻擊者接管 Smart-UPS設備并對物理設備和 IT 資產進行極端攻擊。不間斷電源 （UPS）設備為關鍵任務資產提供應急備用電源，可在數據中心、工業設施、醫院等場所找到。APC是施耐德電氣的子公司，是UPS設備的領先供應商之一，在全球銷售了超過2000萬臺設備。如果被利用，這些被稱為TLStorm的漏洞允許完全遠程接管Smart-UPS設備并能夠進行極端的網絡物理攻擊。根據Armis的數據，近10家公司中有8家暴露于TLSstorm漏洞。

　　一、TLSstorm漏洞概述

　　這組發現的漏洞包括云連接Smart-UPS設備使用的TLS實施中的兩個嚴重漏洞，以及第三個嚴重漏洞，即設計缺陷，其中所有Smart-UPS設備的固件升級都沒有正確簽名和驗證。其中兩個漏洞涉及UPS和施耐德電氣云之間的TLS連接。支持SmartConnect功能的設備會在啟動時或云連接暫時丟失時自動建立TLS連接。

　　CVE-2022-22806：TLS 身份驗證繞過：TLS 握手中的狀態混淆導致身份驗證繞過，導致使用網絡固件升級進行遠程代碼執行 （RCE）。

　　CVE-2022-22805：TLS 緩沖區溢出：數據包重組 （RCE） 中的內存損壞錯誤。

　　這兩個漏洞可以通過未經身份驗證的網絡數據包觸發，無需任何用戶交互（ZeroClick 攻擊）。

　　CVE-2022-0715：可通過網絡更新的未簽名固件升級 （RCE）。

　　第三個漏洞是設計缺陷，受影響設備上的固件更新未以安全方式進行加密簽名。這意味著攻擊者可以制作惡意固件并使用各種路徑（包括Internet、LAN或USB驅動器）進行安裝。這可以讓攻擊者在此類 UPS設備上建立持久的持久性，這些設備可以用作網絡中的據點，可以從中進行額外的攻擊。

　　濫用固件升級機制中的缺陷正在成為APT的標準做法，正如最近在對Cyclops Blink惡意軟件的分析中所詳述的那樣，嵌入式設備固件的不當簽名是各種嵌入式系統中反復出現的缺陷。Armis之前在Swisslog PTS系統中發現的漏洞（ PwnedPiper , CVE-2021-37160） 是類似漏洞的結果。

　　Armis已于2021年10月31日向施耐德電氣披露了這些漏洞。此后，Armis與施耐德電氣合作創建并測試了一個補丁，該補丁現已普遍可用。

　　在當地時間3月8日發布的安全公告中，施耐德電氣表示，這些漏洞被歸類為“嚴重”和“高嚴重性”，影響 SMT、SMC、SCL、SMX、SRT和SMTL系列產品。該公司已開始發布包含針對這些漏洞的補丁的固件更新。對于沒有固件補丁的產品，施耐德提供了一系列緩解措施來降低被利用的風險。