https://www.csoonline.com/article/3652519/critical-flaws-in-apc-uninterruptible-power-supplies-poses-risks-to-mission-critical-devices.html#tk.rss_all
セキュリティ研究者は、デバイスを乗っ取るために悪用される可能性のあるAPCSmart-UPS無停電電源装置の多くのモデルに影響を与えるいくつかの脆弱性を発見しました。
同社は、クラウドに接続されたSmart-UPSデバイスで使用されるTLS実装に存在するため、脆弱性TLStormと呼んでいます。
「この変更されたファームウェアにより、攻撃者は、ネットワーク内の拠点として使用して追加の攻撃を開始できるようなUPSデバイスで長期的な永続性を確立できる可能性があります」とArmisの研究者は述べています。
ファームウェアバージョンUPS04.6(SMTシリーズ)およびバージョンUPS 04.3(SMCシリーズ)には、Smart-UPSおよびSmartConnect UPS向けに、CVE-2022-22805およびCVE-2022-22806の修正と、CVE-2022-0715の部分的な修正が含まれています。
これらのモデルについて、同社はファームウェアパッチに取り組んでいますが、それまでの間、該当する場合はデバイスのフロントパネルからSmartConnect機能を無効にするか、影響を受けるUPSに接続されているネットワークケーブルを切断することをお勧めします。
これまでのところ、これらの脆弱性が実際に悪用されているという証拠はなく、UPSデバイスは歴史的にサイバー攻撃の標的にされていません。
APC無停電電源装置の重大な欠陥は、ミッションクリティカルなデバイスにリスクをもたらします。LucianConstantin
security summary
コメント