Kritické zraniteľnosti v zariadeniach UPS môžu spôsobiť nedostupnosť služby

UPS zariadenia spravované s APC Easy UPS Online Monitoring Softvér sú ohrozené chybami, ktoré môžu byť využité na vzdialené vykonávanie kódu, zmenu oprávnení alebo ich obídenie. V konečnom dôsledku hrozí strata funkčnosti nepretržitého napájania zariadení.

Zraniteľné systémy:

Softvér APC (Schneider Electric) Easy UPS Online Monitoring Software v2.5-GA-01-22320 a staršie verzie pre všetky verzie operačného systému Windows vrátanie 10, 11 a tiež Windows Server 2016, 2019 a 2022.

Opis činnosti:

CVE-2023-29411 (CVSS v3.1 9,8) :

Chýbajúca autentifikácia pre kritickú funkciu, ktorá umožňuje útočníkovi zmeniť prihlasovacie údaje správcu a spustiť ľubovoľný kód na rozhraní Java RMI.

CVE-2023-29412 (CVSS v3.1 9,8):

Nesprávne zaobchádzanie s rozlišovaním malých a veľkých písmen, ktoré môže umožniť vzdialené vykonanie kódu (RCE) pri manipulácii s internými metódami prostredníctvom rozhrania Java RMI.

CVE-2023-29413 (CVSS v3.1 7,5) :

Chýbajúca autentifikácia pre kritickú funkciu, ktorá dovoľuje neoverenému útočníkovi  spôsobiť stav odmietnutia služby (DoS).

Spoločnosť APC a Schneider Electric varujú svojich klientov a používateľov ich produktov, aby vykonali nápravné opatrenia. Malo by sa tak zamedziť možnosti vykonania škodlivého kódu, alebo straty funkčnosti zariadenia nepretržitého napájania ( UPS ).

Organizácia CISA tiež varuje pred útokmi cielenými na zariadenia UPS pripojenými na internet a odporúča okamžité prijatie opatrení spojených s ochranou a zablokovaním možného útoku na zariadenia nepretržitého napájania, ktoré sú nevyhnutné pre chod dátových centier, serverovní a kritickej infraštruktúry.

Závažnosť zraniteľnosti: Vysoká až kritická

Možné škody:

  • Vzdialené vykonávanie kódu
  • Nedostupnosť služby (DoS)
  • Zvýšenie oprávnení

Odporúčania:

Aktualizácia na verziu V2.5-GS-01-23036 alebo novšiu, k dispozícii na stiahnutie pre zariadenia APC a pre zariadenia SE.

Pre užívateľov s priamym prístupom k jednotkám Easy UPS sa ako mitigácia odporúča inštalácia PowerChute Serial Shutdown (Softvérová sada PCSS) na všetkých serveroch pripojených k zariadeniam nepretržitého napájania modelového radu Easy UPS OnLine (SRV, SRVL).Táto poskytuje funkcionalitu sériového vypnutia a monitorovania.

Medzi všeobecné bezpečnostné odporúčania patrí umiestňovanie zariadení kritických pre chod organizácie, ktoré musia byť nevyhnutne pripojené k internetu, za brány firewall, využívanie VPN pre vzdialený prístup, prísna kontrola fyzického prístupu a vyhnúť sa ponechaniu zariadení v režime “ Program ”.

Odkazy:

https://www.bleepingcomputer.com/news/security/apc-warns-of-critical-unauthenticated-rce-flaws-in-ups-software/

https://www.scmagazine.com/news/device-security/schneider-electric-patches-three-vulnerabilities-apc-ups-units

https://www.malwarebytes.com/blog/news/2023/04/apc-warns-about-critical-vulnerability-in-online-ups-monitoring-software

https://www.bleepingcomputer.com/news/security/cisa-warns-of-attacks-targeting-internet-connected-ups-devices/