APC の Easy UPS Online Monitoring Software は、認証されていない任意のリモート コード実行に対して脆弱であり、ハッカーがデバイスを乗っ取り、最悪の場合、その機能を完全に無効にする可能性があります。
無停電電源装置 (UPS) デバイスは、電力の変動や停電の中でシームレスな運用を確保することにより、データ センター、サーバー ファーム、および小規模なネットワーク インフラストラクチャを保護するために不可欠です。
APC (Schneider Electric 製) は、最も人気のある UPS ブランドの 1 つです。その製品は、政府、ヘルスケア、産業、IT、小売インフラなど、消費者市場と企業市場の両方に広く展開されています。
今月初め、ベンダーは、製品に影響を与える次の 3 つの欠陥について警告するセキュリティ通知を発行しました。
- CVE-2023-29411 : 重要な機能の認証が欠落しており、攻撃者が管理者の資格情報を変更し、Java RMI インターフェイスで任意のコードを実行する可能性があります。 (CVSS v3.1 スコア: 9.8、「クリティカル」)
- CVE-2023-29412 : 大文字と小文字の区別の不適切な処理により、攻撃者が Java RMI インターフェースを介して内部メソッドを操作する際に任意のコードを実行する可能性があります。 (CVSS v3.1 スコア: 9.8、「クリティカル」)
- CVE-2023-29413 : 重要な機能の認証が欠落しており、認証されていない攻撃者がサービス拒否 (DoS) 状態を課す可能性があります。 (CVSS v3.1 スコア: 7.5、「高」)
通常、サービス拒否 (DoS) の欠陥はそれほど危険ではないと考えられていますが、多くの UPS デバイスがデータ センターに配置されているため、このような停止の影響は、デバイスのリモート管理をブロックする可能性があるため、拡大されます。
上記の欠陥は以下に影響します。
- APC Easy UPS オンライン監視ソフトウェア v2.5-GA-01-22320 以前
- Schneider Electric Easy UPS オンライン監視ソフトウェア v2.5-GA-01-22320 以前
この影響は、10 および 11 を含むすべての Windows バージョンと、Windows Server 2016、2019、および 2022 に影響します。
影響を受けるソフトウェアのユーザーに推奨されるアクションは、V2.5-GS-01-23036 以降にアップグレードすることです。V2.5-GS-01-23036 以降は、ここ ( APC 、 SE ) からダウンロードできます。
現在、Easy UPS ユニットに直接アクセスできるお客様の唯一の緩和策は、Easy UPS OnLine (SRV、SRVL モデル) によって保護されているすべてのサーバーで、シリアル シャットダウンと監視を提供する PowerChute Serial Shutdown ( PCSS ) ソフトウェア スイートにアップグレードすることです。 .
ベンダーが提供する一般的なセキュリティの推奨事項には、ミッション クリティカルなインターネット接続デバイスをファイアウォールの内側に配置する、リモート アクセスに VPN を利用する、厳密な物理アクセス制御を実装する、デバイスを「プログラム」モードのままにしておくことを避けるなどがあります。
APC製品に焦点を当てた最近の調査により、「 TLStorm 」と総称される危険な欠陥が明らかになりました。これにより、ハッカーは脆弱で公開されたUPSデバイスを制御できてしまう可能性があります。
TLStorm の公開直後、 CISA は、インターネットに接続された UPS デバイスを標的とする攻撃について警告し、攻撃をブロックしてデバイスを保護するために直ちに行動を起こすようユーザーに促しました。
Comments