Как сообщает компания APC, один из самых популярных производителей источников бесперебойного питания (ИБП), программное обеспечение Easy UPS Online Monitoring уязвимо для неавторизованных злоумышленников и допускает выполнение удаленного кода, что позволяет хакерам влиять на работу устройств или полностью отключать их.
Устройства бесперебойного питания жизненно важны для защиты центров обработки данных, серверных ферм и небольших сетевых инфраструктур, обеспечивая бесперебойную работу при колебаниях напряжения или перебоях в подаче электроэнергии.
APC (от Schneider Electric) – одна из самых популярных марок ИБП. Продукты компании широко используются как на потребительском, так и на корпоративном рынке, включая правительственные учреждения, здравоохранение, промышленную инфраструктуру, IT и розничную торговлю.
Ранее в этом месяце поставщик опубликовал уведомление о безопасности , предупреждающее о следующих трёх уязвимостях, влияющих на его продукты:
- CVE-2023-29411: отсутствие аутентификации для критической функции, позволяющее злоумышленникам изменять учётные данные администратора и выполнять произвольный код в интерфейсе Java RMI (Оценка CVSS v3.1: 9,8).
- CVE-2023-29412: неправильная обработка учёта регистра, позволяющая злоумышленникам запускать произвольный код при манипулировании внутренними методами через интерфейс Java RMI (Оценка CVSS v3.1: 9,8).
- CVE-2023-29413: отсутствие аутентификации для критической функции, способное привести к инициированию неавторизованными злоумышленниками DoS-атак (Оценка CVSS v3.1: 7,5).
Недостатки, связанные с отказом в обслуживании (DoS), обычно не считаются слишком опасными, однако поскольку многие ИБП-устройства расположены в центрах обработки данных, последствия такого сбоя усиливаются.
Вышеуказанные уязвимости влияют на:
- программное обеспечение APC Easy UPS Online Monitoring 5-GA-01-22320 и более ранних версий;
- программное обеспечение Schneider Electric Easy UPS Online Monitoring версии 5-GA-01-22320 и более ранних версий.
Пользователям затронутого программного обеспечения рекомендуется выполнить обновление до версии V2.5-GS-01-23036 или более поздней, доступной для загрузки здесь ( APC , SE ).
Программный пакет PowerChute Serial Shutdown (PCSS), используемых на серверах, защищенных Easy UPS OnLine (модели SRV, SRVL) тоже рекомендуется обновить до последней версии .
Общие рекомендации по безопасности, предоставленные поставщиком, также включают защиту критически важных подключенных к Интернету устройств при помощи брандмауэров, использование ” data-html=”true” data-original-title=”VPN” >VPN для удалённого доступа, внедрение строгого контроля физического доступа и недопущение оставления устройств в “программном” режиме.