自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

CISA和DoE聯(lián)合警告,小心針對聯(lián)網(wǎng)UPS設(shè)備的網(wǎng)絡(luò)攻擊

作者:蘇蘇
安全
CISA和DoE之所以聯(lián)合發(fā)布警告,很大程度上是因?yàn)榇饲癆rmis公司研究人員在APC Smart-UPS設(shè)備中發(fā)現(xiàn)了三個(gè)關(guān)鍵的零日漏洞,黑客利用這三個(gè)漏洞可接管 Smart-UPS設(shè)備,并發(fā)起網(wǎng)絡(luò)攻擊,并將會對極度依賴電源的數(shù)據(jù)中心的機(jī)房造成難以言表的損失。

2022年2月29日,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 和能源部 (DoE) 聯(lián)合發(fā)布了關(guān)于減輕針對聯(lián)網(wǎng)的不間斷電源 (UPS) 設(shè)備的攻擊指南。同時(shí),CISA和DoE警告組織和企業(yè),要小心攻擊者使用默認(rèn)用戶名和密碼對聯(lián)網(wǎng)的不間斷電源 (UPS) 設(shè)備進(jìn)行攻擊。

眾所周知,UPS是一種含有儲能裝置的不間斷電源,主要用于給部分對電源穩(wěn)定性要求較高的設(shè)備,提供不間斷的電源。當(dāng)出現(xiàn)斷電時(shí),當(dāng)市電輸入正常時(shí),UPS立即將電池的直流電能,通過逆變器切換轉(zhuǎn)換的方法向負(fù)載繼續(xù)供應(yīng)220V交流電,使負(fù)載維持正常工作并保護(hù)負(fù)載軟、硬件不受損壞。

而針對UPS設(shè)備攻擊的最終目的,是為了對企業(yè)和組織中那些依賴電源穩(wěn)定性的物理設(shè)備和 IT 資產(chǎn)進(jìn)行極端攻擊。

因此,指南建議組織立即檢查所有UPS和類似系統(tǒng),并確保無法從互聯(lián)網(wǎng)訪問它們。在必須在線訪問UPS設(shè)備的情況下,CISA和DoE建議組織實(shí)施以下措施:

  • 確??梢酝ㄟ^虛擬專用網(wǎng)絡(luò)訪問設(shè)備;
  • 強(qiáng)制執(zhí)行多因素身份驗(yàn)證;
  • 根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院指南使用強(qiáng)密碼或密碼短語;

此外,CISA還建議組織立即自查目前使用中的UPS設(shè)備憑據(jù)是否仍為出廠默認(rèn)設(shè)置,這將會大大增加黑客攻擊的成功率。指南中還發(fā)布了企業(yè)如何應(yīng)對針對UPS設(shè)備的攻擊,以及事件快速應(yīng)急響應(yīng)的最佳實(shí)踐等。

數(shù)據(jù)中心機(jī)房的噩夢

CISA和DoE之所以聯(lián)合發(fā)布警告,很大程度上是因?yàn)榇饲癆rmis公司研究人員在APC Smart-UPS設(shè)備中發(fā)現(xiàn)了三個(gè)關(guān)鍵的零日漏洞,黑客利用這三個(gè)漏洞可接管 Smart-UPS設(shè)備,并發(fā)起網(wǎng)絡(luò)攻擊,并將會對極度依賴電源的數(shù)據(jù)中心的機(jī)房造成難以言表的損失。

更糟糕的是,施耐德電氣子公司APC是UPS設(shè)備供應(yīng)巨頭之一,在全球銷售了超過2000萬臺設(shè)備,被廣泛應(yīng)用于醫(yī)療、零售、工業(yè)等部門。如今這些設(shè)備全部都處于黑客的攻擊范圍之內(nèi),購買了這些設(shè)備的企業(yè)也面臨著巨大的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

這三個(gè)零日漏洞可以通過未經(jīng)身份驗(yàn)證的網(wǎng)絡(luò)數(shù)據(jù)包觸發(fā),無需任何用戶交互,危害性極大,以下是其具體信息:

  • CVE-2022-22805(CVSS分?jǐn)?shù):9.0)——TLS緩沖區(qū)溢出;
  • CVE-2022-22806(CVSS分?jǐn)?shù):9.0)——TLS身份驗(yàn)證繞過;
  • CVE-2022-0715(CVSS評分:8.9)–可通過網(wǎng)絡(luò)更新的未簽名固件升級。

其中,前兩個(gè)漏洞(CVE-2022-22805和CVE-2022-22806)存在于TLS(傳輸層安全)協(xié)議的實(shí)施中,該協(xié)議將具有“SmartConnect”功能的Smart-UPS設(shè)備連接到施耐德電氣管理云。

第三個(gè)漏洞(CVE-2022-0715),與“幾乎所有APC Smart-UPS設(shè)備”的固件有關(guān),該固件未經(jīng)過加密簽名,安裝在系統(tǒng)上時(shí)無法驗(yàn)證其真實(shí)性。雖然固件是加密的(對稱的),但它缺乏加密簽名,允許攻擊者創(chuàng)建它的惡意版本并將其作為更新交付給目標(biāo)UPS設(shè)備以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)。

2022年3月8日,施耐德電氣表示,這些漏洞被歸類為“嚴(yán)重”和“高嚴(yán)重性”,影響 SMT、SMC、SCL、SMX、SRT和SMTL系列產(chǎn)品。該公司已開始發(fā)布包含針對這些漏洞的補(bǔ)丁的固件更新。對于沒有固件補(bǔ)丁的產(chǎn)品,施耐德提供了一系列緩解措施來降低被利用的風(fēng)險(xiǎn)。

參考來源:https://securityaffairs.co/wordpress/129620/security/cisa-doe-warn-attacks-ups.html

責(zé)任編輯:趙寧寧 來源: FreeBuf.COM
網(wǎng)絡(luò)攻擊黑客漏洞
相關(guān)推薦

2022-08-16 08:07:47

勒索軟件風(fēng)險(xiǎn)CISA

2022-05-07 11:42:58

網(wǎng)絡(luò)攻擊UPS系統(tǒng)

2024-01-17 21:32:36

2022-01-02 07:05:10

網(wǎng)絡(luò)攻擊移動設(shè)備網(wǎng)絡(luò)安全

2022-02-18 13:44:30

區(qū)塊鏈微軟網(wǎng)絡(luò)安全

2022-04-20 14:54:35

漏洞網(wǎng)絡(luò)攻擊Windows

2025-03-20 10:04:38

2019-07-11 13:58:42

物聯(lián)網(wǎng)安全DDOS

2022-08-10 18:18:20

網(wǎng)絡(luò)安全漏洞CISA

2022-06-06 07:47:07

勒索軟件物聯(lián)網(wǎng)安全漏洞

2019-09-06 14:14:53

聯(lián)網(wǎng)汽車車聯(lián)網(wǎng)物聯(lián)網(wǎng)

2022-06-27 10:05:09

物聯(lián)網(wǎng)安全UPS網(wǎng)絡(luò)安全

2023-06-14 13:59:05

2020-01-18 08:59:23

惡意軟件網(wǎng)絡(luò)釣魚攻擊

2022-06-07 11:20:33

零日漏洞漏洞網(wǎng)絡(luò)攻擊

2022-04-21 16:16:29

勒索軟件網(wǎng)絡(luò)攻擊農(nóng)業(yè)

2012-06-06 11:14:17

2013-03-04 10:39:27

2013-02-19 09:23:58

2021-07-19 18:03:51

勒索軟件漏洞網(wǎng)絡(luò)攻擊
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號