2022年3月、Schneider Electricの無停電電源装置「APC Smart-UPS」に遠隔から不正アクセスおよび不正制御を可能とする複数の脆弱性が存在することが明らかになった。この脆弱性を悪用されると、遠隔から無停電電源装置(UPS: Uninterruptible Power Supply)を物理的に破壊される危険性があるとされており注意が必要。影響範囲の広さやサイバー攻撃の結果もたらされる被害の深刻さが懸念される脆弱性であり、「TLStorm」という名称で呼ばれている(参考「2,000万超の無停電電源装置「APC Smart-UPS」、リモート攻撃で物理破壊の恐れ | TECH+」)。
TLStormを発見したArmisは5月3日(米国時間)、「TLStorm 2.0 - Armis」において、TLStormと同じ設計上の欠陥に起因する5つの脆弱性を発見したと伝えた。MocanaのTLSライブラリでありNanoSSLの誤用が問題の原因になっているという点でTSLtormと同じ種類の脆弱性であり、数百万台の企業向けのネットワークスイッチが影響を受ける可能性があるとして注意を呼びかけている。同社はこの脆弱性を「TLStorm 2.0」と呼称している。
報告されている脆弱性は次のとおり。
- CVE-2022-23677 - 複数のインタフェースにおけるNanoSSLの誤用によるリモートコード実行の脆弱性。深刻度は緊急(CVSSスコア 9.0)
- CVE-2022-23676 - RADIUSクライアントメモリ破壊の脆弱性。深刻度は緊急(CVSSスコア 9.1)
- CVE-2022-29860 - TLS再アセンブルヒープオーバーフローの脆弱性。深刻度は緊急(CVSSスコア 9.8)
- CVE-2022-29861 - HTTPヘッダパーススタックオーバーフローの脆弱性。深刻度は緊急(CVSSスコア 9.8)。
- HTTP POSTリクエストハンドリングにおけるヒープオーバーフローの脆弱性。
TLStorm 2.0を悪用されると、次のような行為が可能になるとされている。
- ネットワークセグメントを超え、スイッチの動作を変更することで追加のデバイスに対して横方向への移動を可能とする
- 企業ネットワークトラフィックや機密情報を内部ネットワークから窃取する
- キャプティブポータルからの脱出
影響を受けるとされるデバイスは次のとおり。
- Avaya ERS3500 シリーズ
- Avaya ERS3600 シリーズ
- Avaya ERS4900 シリーズ
- Avaya ERS5900 シリーズ
- Aruba 5400R シリーズ
- Aruba 3810 シリーズ
- Aruba 2920 シリーズ
- Aruba 2930F シリーズ
- Aruba 2930M シリーズ
- Aruba 2530 シリーズ
- Aruba 2540 シリーズ
影響を受けるデバイスを使用している場合、すでにベンダからセキュリティアドバイザリやパッチの提供が行われていることから、それぞれのベンダーのセキュリティ情報を確認するとともに、内容に従ってアップデートを実施することが望まれる。また、特定のネットワーク保護レイヤを適用してリスクを軽減することなどがアドバイスされている。
公開された脆弱性は影響を受けるデバイスの数が多く、エンタープライズユースのネットワークが大きな影響を受ける可能性がある。使用しているネットワークアプライアンスを確認するとともに、該当するデバイスを使用している場合は迅速にアップデートの適用や緩和策の適用などを実施することが望まれる。