2022年2月29日,美国网络安全和基础设施安全局 (CISA) 和能源部 (DoE) 联合发布了关于减轻针对联网的不间断电源 (UPS) 设备的攻击指南。同时,CISA和DoE警告组织和企业,要小心攻击者使用默认用户名和密码对联网的不间断电源 (UPS) 设备进行攻击。
众所周知,UPS是一种含有储能装置的不间断电源,主要用于给部分对电源稳定性要求较高的设备,提供不间断的电源。当出现断电时,当市电输入正常时,UPS立即将电池的直流电能,通过逆变器切换转换的方法向负载继续供应220V交流电,使负载维持正常工作并保护负载软、硬件不受损坏。
而针对UPS设备攻击的最终目的,是为了对企业和组织中那些依赖电源稳定性的物理设备和 IT 资产进行极端攻击。
因此,指南建议组织立即检查所有UPS和类似系统,并确保无法从互联网访问它们。在必须在线访问UPS设备的情况下,CISA和DoE建议组织实施以下措施:
- 确保可以通过虚拟专用网络访问设备;
- 强制执行多因素身份验证;
- 根据美国国家标准与技术研究院指南使用强密码或密码短语;
此外,CISA还建议组织立即自查目前使用中的UPS设备凭据是否仍为出厂默认设置,这将会大大增加黑客攻击的成功率。指南中还发布了企业如何应对针对UPS设备的攻击,以及事件快速应急响应的最佳实践等。
数据中心机房的噩梦
CISA和DoE之所以联合发布警告,很大程度上是因为此前Armis公司研究人员在APC Smart-UPS设备中发现了三个关键的零日漏洞,黑客利用这三个漏洞可接管 Smart-UPS设备,并发起网络攻击,并将会对极度依赖电源的数据中心的机房造成难以言表的损失。
更糟糕的是,施耐德电气子公司APC是UPS设备供应巨头之一,在全球销售了超过2000万台设备,被广泛应用于医疗、零售、工业等部门。如今这些设备全部都处于黑客的攻击范围之内,购买了这些设备的企业也面临着巨大的网络攻击风险。
这三个零日漏洞可以通过未经身份验证的网络数据包触发,无需任何用户交互,危害性极大,以下是其具体信息:
- CVE-2022-22805(CVSS分数:9.0)——TLS缓冲区溢出;
- CVE-2022-22806(CVSS分数:9.0)——TLS身份验证绕过;
- CVE-2022-0715(CVSS评分:8.9)–可通过网络更新的未签名固件升级。
其中,前两个漏洞(CVE-2022-22805和CVE-2022-22806)存在于TLS(传输层安全)协议的实施中,该协议将具有“SmartConnect”功能的Smart-UPS设备连接到施耐德电气管理云。
第三个漏洞(CVE-2022-0715),与“几乎所有APC Smart-UPS设备”的固件有关,该固件未经过加密签名,安装在系统上时无法验证其真实性。虽然固件是加密的(对称的),但它缺乏加密签名,允许攻击者创建它的恶意版本并将其作为更新交付给目标UPS设备以实现远程代码执行(RCE)。
2022年3月8日,施耐德电气表示,这些漏洞被归类为“严重”和“高严重性”,影响 SMT、SMC、SCL、SMX、SRT和SMTL系列产品。该公司已开始发布包含针对这些漏洞的补丁的固件更新。对于没有固件补丁的产品,施耐德提供了一系列缓解措施来降低被利用的风险。
参考来源:https://securityaffairs.co/wordpress/129620/security/cisa-doe-warn-attacks-ups.html