APC的Easy UPS在线监控软件容易受到未经身份验证的任意远程代码执行的攻击,使黑客能够接管设备,在最坏的情况下,可以完全禁用其功能。
不间断电源(UPS)设备对于保护数据中心、服务器群组和小型网络基础设施至关重要,可以确保在电源波动或断电时无缝运行。
APC(施耐德电气)是一个受欢迎的UPS品牌。其产品广泛部署在消费者和企业市场,包括政府、医疗保健、工业、IT 和零售基础设施。
本月早些时候,该供应商发布了一份安全通知,警告以下三个影响其产品的漏洞:
-
CVE-2023-29411:缺少关键功能的身份验证,允许攻击者更改管理员凭据并在 Java RMI 接口上执行任意代码。(CVSS v3.1 分数:9.8,“严重”)
-
CVE-2023-29412:未正确处理区分大小写,允许攻击者在通过 Java RMI 接口操作内部方法时运行任意代码。(CVSS v3.1 分数:9.8,“严重”)
-
CVE-2023-29413:缺少关键功能的身份验证,可能导致未经身份验证的攻击者施加拒绝服务 (DoS) 条件。(CVSS v3.1 分数:7.5,“高”)
虽然拒绝服务(DoS)缺陷通常不被认定为非常危险,但由于许多UPS设备位于数据中心,这种中断的后果将被放大,因为它可能会阻止设备的远程管理。
以上缺陷影响版本:
-
APC Easy UPS在线监控软件v2.5-GA-01-22320及更早版本
-
施耐德电气Easy UPS在线监控软件v2.5-GA-01-22320及更早版本
这种影响会影响所有 Windows 版本,包括 10 和 11,以及 Windows Server 2016、2019 和 2022。
对于受影响软件的用户,建议的操作是升级到 V2.5-GS-01-23036 或更高版本。
目前,对于直接访问Easy UPS设备的客户,缓解措施是在所有受Easy UPS OnLine (SRV, SRVL型号)保护的服务器上升级到PowerChute串行关机(PCSS)软件套件,该软件提供串行关机和监控。
供应商提供的一般安全建议包括将关键任务互联网连接的设备置于防火墙后面,利用VPN进行远程访问,实施严格的物理访问控制,以及避免将设备置于“程序”模式。
最近针对APC产品的研究揭示了统称为“TLStorm”的危险漏洞,这些漏洞可能使黑客控制易受攻击和暴露的UPS设备。
在TLStorm发布后不久,CISA警告针对互联网连接的UPS设备的攻击,敦促用户立即采取行动阻止攻击并保护他们的设备。
来源:
