CISA和DoE联合警告,小心针对联网UPS设备的网络攻击攻击不间断电源(UPS)设备的指南。与此同时,CISA和DoE警告组织和企业要警惕使用默认用户名和密码攻击网络不间断电源(UPS)设备的攻击者。众所周知,UPS是一种带有储能装置的不间断电源,主要用于为一些对电源稳定性要求较高的设备提供不间断电源。当停电时,当市电输入正常时,UPS会立即切换电池的直流电,通过逆变切换方式继续向负载提供220V交流电,使负载保持正常运行和保护负载软硬件不受损坏。.UPS设备攻击的最终目的是对依赖电源稳定性的企业和组织中的物理设备和IT资产进行极端攻击。因此,指南建议组织立即检查所有UPS和类似系统,并确保无法从Internet访问它们。在必须在线访问UPS设备的情况下,CISA和DoE建议组织实施以下措施:确保可以通过虚拟专用网络访问设备;强制执行多因素身份验证;根据美国国家标准技术研究院的指导方针使用强密码或密码短语;此外,CISA还建议组织立即检查当前使用的UPS设备的凭据是否仍为出厂默认设置,这将大大提高黑客攻击的成功率。指南还发布了企业如何应对针对UPS设备的攻击,以及快速应急响应事件的最佳实践。数据中心机房的噩梦CISA和DoE之所以联合发出警告,很大程度上是因为Armis研究人员此前在APCSmart-UPS设备中发现了三个关键的零日漏洞,黑客可以利用这些漏洞接管Smart-UPS设备,并发动网络攻击,将对极度依赖电力的数据中心机房造成不可估量的损失。更糟糕的是,施耐德电气旗下的APC是UPS设备供应的巨头之一。全球销量超过2000万台,广泛应用于医疗、零售、工业等领域。所有这些设备现在都在黑客的攻击范围内,购买这些设备的公司也面临着很大的网络攻击风险。这三个零日漏洞可以由未经身份验证的网络数据包触发,无需任何用户交互,危害极大。以下是他们的具体信息:CVE-2022-22805(CVSSscore:9.0)-TLSbufferOverflow;CVE-2022-22806(CVSS分数:9.0)-TLS身份验证绕过;CVE-2022-0715(CVSS评分:8.9)-通过网络更新进行未签名的固件升级。其中,前两个漏洞(CVE-2022-22805和CVE-2022-22806)存在于TLS(传输层安全)协议的实施中,该协议将具有“SmartConnect”功能的Smart-UPS设备连接到施耐德电气管理云。第三个漏洞(CVE-2022-0715)与“几乎所有APCSmart-UPS设备”的固件有关,该固件未经过加密签名,安装在系统上时无法验证其真实性。虽然固件是加密的(对称的),但它缺少加密签名,允许攻击者创建它的恶意版本并将其作为更新提供给目标UPS设备以进行远程代码执行(RCE)。2022年3月8日,施耐德电气表示,这些漏洞被归类为“严重”和“高危”,影响了SMT、SMC、SCL、SMX、SRT和SMTL系列产品。该公司已开始发布固件更新,其中包含针对这些漏洞的补丁。对于没有固件补丁的产品,施耐德提供了一系列缓解措施来降低被利用的风险。参考来源:https://securityaffairs.co/wordpress/129620/security/cisa-doe-warn-attacks-ups.html
