CISA和DoE联合警告,小心针对联网UPS设备的网络攻击

安全
CISA和DoE之所以联合发布警告,很大程度上是因为此前Armis公司研究人员在APC Smart-UPS设备中发现了三个关键的零日漏洞,黑客利用这三个漏洞可接管 Smart-UPS设备,并发起网络攻击,并将会对极度依赖电源的数据中心的机房造成难以言表的损失。

2022年2月29日,美国网络安全和基础设施安全局 (CISA) 和能源部 (DoE) 联合发布了关于减轻针对联网的不间断电源 (UPS) 设备的攻击指南。同时,CISA和DoE警告组织和企业,要小心攻击者使用默认用户名和密码对联网的不间断电源 (UPS) 设备进行攻击。

众所周知,UPS是一种含有储能装置的不间断电源,主要用于给部分对电源稳定性要求较高的设备,提供不间断的电源。当出现断电时,当市电输入正常时,UPS立即将电池的直流电能,通过逆变器切换转换的方法向负载继续供应220V交流电,使负载维持正常工作并保护负载软、硬件不受损坏。

而针对UPS设备攻击的最终目的,是为了对企业和组织中那些依赖电源稳定性的物理设备和 IT 资产进行极端攻击。

因此,指南建议组织立即检查所有UPS和类似系统,并确保无法从互联网访问它们。在必须在线访问UPS设备的情况下,CISA和DoE建议组织实施以下措施:

  • 确保可以通过虚拟专用网络访问设备;
  • 强制执行多因素身份验证;
  • 根据美国国家标准与技术研究院指南使用强密码或密码短语;

此外,CISA还建议组织立即自查目前使用中的UPS设备凭据是否仍为出厂默认设置,这将会大大增加黑客攻击的成功率。指南中还发布了企业如何应对针对UPS设备的攻击,以及事件快速应急响应的最佳实践等。

数据中心机房的噩梦

CISA和DoE之所以联合发布警告,很大程度上是因为此前Armis公司研究人员在APC Smart-UPS设备中发现了三个关键的零日漏洞,黑客利用这三个漏洞可接管 Smart-UPS设备,并发起网络攻击,并将会对极度依赖电源的数据中心的机房造成难以言表的损失。

更糟糕的是,施耐德电气子公司APC是UPS设备供应巨头之一,在全球销售了超过2000万台设备,被广泛应用于医疗、零售、工业等部门。如今这些设备全部都处于黑客的攻击范围之内,购买了这些设备的企业也面临着巨大的网络攻击风险。

这三个零日漏洞可以通过未经身份验证的网络数据包触发,无需任何用户交互,危害性极大,以下是其具体信息:

  • CVE-2022-22805(CVSS分数:9.0)——TLS缓冲区溢出;
  • CVE-2022-22806(CVSS分数:9.0)——TLS身份验证绕过;
  • CVE-2022-0715(CVSS评分:8.9)–可通过网络更新的未签名固件升级。

其中,前两个漏洞(CVE-2022-22805和CVE-2022-22806)存在于TLS(传输层安全)协议的实施中,该协议将具有“SmartConnect”功能的Smart-UPS设备连接到施耐德电气管理云。

第三个漏洞(CVE-2022-0715),与“几乎所有APC Smart-UPS设备”的固件有关,该固件未经过加密签名,安装在系统上时无法验证其真实性。虽然固件是加密的(对称的),但它缺乏加密签名,允许攻击者创建它的恶意版本并将其作为更新交付给目标UPS设备以实现远程代码执行(RCE)。

2022年3月8日,施耐德电气表示,这些漏洞被归类为“严重”和“高严重性”,影响 SMT、SMC、SCL、SMX、SRT和SMTL系列产品。该公司已开始发布包含针对这些漏洞的补丁的固件更新。对于没有固件补丁的产品,施耐德提供了一系列缓解措施来降低被利用的风险。

参考来源:https://securityaffairs.co/wordpress/129620/security/cisa-doe-warn-attacks-ups.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-08-16 08:07:47

勒索软件风险CISA

2022-05-07 11:42:58

网络攻击UPS系统

2024-01-17 21:32:36

2022-01-02 07:05:10

网络攻击移动设备网络安全

2022-04-20 14:54:35

漏洞网络攻击Windows

2022-02-18 13:44:30

区块链微软网络安全

2022-06-06 07:47:07

勒索软件物联网安全漏洞

2019-07-11 13:58:42

物联网安全DDOS

2022-08-10 18:18:20

网络安全漏洞CISA

2022-06-07 11:20:33

零日漏洞漏洞网络攻击

2022-06-27 10:05:09

物联网安全UPS网络安全

2020-01-18 08:59:23

恶意软件网络钓鱼攻击

2022-04-21 16:16:29

勒索软件网络攻击农业

2023-06-14 13:59:05

2019-09-06 14:14:53

联网汽车车联网物联网

2012-06-06 11:14:17

2013-03-04 10:39:27

2021-07-19 18:03:51

勒索软件漏洞网络攻击

2022-03-18 13:15:30

恶意软件网络攻击

2013-02-19 09:23:58

点赞
收藏

51CTO技术栈公众号