CISA和DoE聯(lián)合警告,小心針對聯(lián)網UPS設備的網絡攻擊
2022年03月31日
2022年2月29日���,美國網絡安全和基礎設施安全局 (CISA) 和能源部 (DoE) 聯(lián)合發(fā)布了關于減輕針對聯(lián)網的不間斷電源 (UPS) 設備的攻擊指南����。同時��,CISA和DoE警告組織和企業(yè)�,要小心攻擊者使用默認用戶名和密碼對聯(lián)網的不間斷電源 (UPS) 設備進行攻擊�。
眾所周知,UPS是一種含有儲能裝置的不間斷電源�,主要用于給部分對電源穩(wěn)定性要求較高的設備,提供不間斷的電源���。當出現(xiàn)斷電時�,當市電輸入正常時�����,UPS立即將電池的直流電能,通過逆變器切換轉換的方法向負載繼續(xù)供應220V交流電��,使負載維持正常工作并保護負載軟�、硬件不受損壞。
而針對UPS設備攻擊的最終目的����,是為了對企業(yè)和組織中那些依賴電源穩(wěn)定性的物理設備和 IT 資產進行極端攻擊。
因此�����,指南建議組織立即檢查所有UPS和類似系統(tǒng)���,并確保無法從互聯(lián)網訪問它們�����。在必須在線訪問UPS設備的情況下��,CISA和DoE建議組織實施以下措施:
此外��,CISA還建議組織立即自查目前使用中的UPS設備憑據(jù)是否仍為出廠默認設置���,這將會大大增加黑客攻擊的成功率����。指南中還發(fā)布了企業(yè)如何應對針對UPS設備的攻擊�,以及事件快速應急響應的最佳實踐等����。
數(shù)據(jù)中心機房的噩夢
CISA和DoE之所以聯(lián)合發(fā)布警告,很大程度上是因為此前Armis公司研究人員在APC Smart-UPS設備中發(fā)現(xiàn)了三個關鍵的零日漏洞����,黑客利用這三個漏洞可接管 Smart-UPS設備,并發(fā)起網絡攻擊���,并將會對極度依賴電源的數(shù)據(jù)中心的機房造成難以言表的損失����。
更糟糕的是,施耐德電氣子公司APC是UPS設備供應巨頭之一��,在全球銷售了超過2000萬臺設備����,被廣泛應用于醫(yī)療、零售����、工業(yè)等部門。如今這些設備全部都處于黑客的攻擊范圍之內�����,購買了這些設備的企業(yè)也面臨著巨大的網絡攻擊風險�。
這三個零日漏洞可以通過未經身份驗證的網絡數(shù)據(jù)包觸發(fā),無需任何用戶交互��,危害性極大��,以下是其具體信息:
CVE-2022-22805(CVSS分數(shù):9.0)——TLS緩沖區(qū)溢出�����;
CVE-2022-22806(CVSS分數(shù):9.0)——TLS身份驗證繞過;
CVE-2022-0715(CVSS評分:8.9)–可通過網絡更新的未簽名固件升級����。
其中,前兩個漏洞(CVE-2022-22805和CVE-2022-22806)存在于TLS(傳輸層安全)協(xié)議的實施中�,該協(xié)議將具有“SmartConnect”功能的Smart-UPS設備連接到施耐德電氣管理云。
第三個漏洞(CVE-2022-0715)���,與“幾乎所有APC Smart-UPS設備”的固件有關�����,該固件未經過加密簽名�����,安裝在系統(tǒng)上時無法驗證其真實性。雖然固件是加密的(對稱的)�,但它缺乏加密簽名,允許攻擊者創(chuàng)建它的惡意版本并將其作為更新交付給目標UPS設備以實現(xiàn)遠程代碼執(zhí)行(RCE)���。
2022年3月8日����,施耐德電氣表示,這些漏洞被歸類為“嚴重”和“高嚴重性”�,影響 SMT、SMC���、SCL����、SMX����、SRT和SMTL系列產品。該公司已開始發(fā)布包含針對這些漏洞的補丁的固件更新���。對于沒有固件補丁的產品��,施耐德提供了一系列緩解措施來降低被利用的風險
