In den APC Smart-UPS-Geräten von Schneider Electric haben IT-Sicherheitsforscher teils kritische Sicherheitslücken gefunden. Angreifer könnten beliebigen Code auf die Geräte schieben und ausführen, aber auch die Geräte außer Funktion setzen, wodurch sie im Fehlerfall nicht anspringen würden. Es stehen erste Firmware-Aktualisierungen für einige Gerätereihen bereit, die die Schwachstellen schließen. Diese Unterbrechungsfreie-Stromversorgungsgeräte gehören zum Internet-of-Things und sind in der Regel in das Netzwerk eingebunden. Die Connected-Smart-UPS-Geräte verlassen dazu sogar das lokale Netz und verbinden sich mit Cloud-Servern. Zwei der Sicherheitslücken sind kritisch und stehen mit der TLS-Verschlüsselung in Zusammenhang. Ein klassischer Pufferüberlauf kann bei der Wieder-Zusammensetzung eines unsachgemäß behandelten TLS-Pakets auftreten, was Angreifer mit manipulierten Paketen zum Einschleusen von Schadcode missbrauchen könnten (CVE-2022-22805, CVSS 9.0, Risiko „kritisch“). Eine Replay-Schwachstelle könnte Angreifern unauthentifizierten Zugriff ermöglichen. IT-Sicherheitsforscher der Firma Armis erläutern, dass dies zur Ausführung eingeschmuggelter Software mithilfe eines untergeschobenen Firmware-Updates führen kann (CVE-2022-22806, CVSS 9.0, kritisch). Durch ein weiteres Sicherheitsleck könnten Angreifer unsignierte Firmware-Updates über das Netzwerk einschmuggeln (CVE-2022-0715). Auf das Risiko wirkt sich aus, ob die Geräte „connected“ sind (CVSS 8.9, hoch) oder nicht (CVSS 6.9, mittel). Schneider Electric hat eine Sicherheitsmeldung bereitgestellt, in der die betroffenen Geräte und die jeweils bereitstehenden Lösungen für die Sicherheitslücken aufgelistet sind. Es stehen für die Geräte der Serien Smart-UPS SMT und SMC sowie SmartConnect SMT und SMC Firmware-Updates in den Versionen UPS 04.6 (SMT) sowie UPS 04.3 (SMC) zur Verfügung, die die kritischen TLS-Lücken schließen und die Gefahr durch die dritte Lücke etwas abmildern. Für die Reihen Smart-UPS SCL, SMX und SRT sowie SmartConnect SMTL, SCLund SMX arbeitet der Hersteller noch an Aktualisierungen und empfiehlt bis zu deren Bereitstellung, über das Frontpanel das Smartconnect-Feature vorübergehend zu deaktivieren oder jedwedes Netzwerkkabel vom Gerät abzustöpseln. In jedem Fall sollten Netzwerkadministratoren und IT-Verantwortliche rasch aktiv werden und die Updates installieren respektive die vorgeschlagenen Schutzmaßnahmen umsetzen.