(PT-2018-36) Positive Technologies Security Advisory
Разглашение информации в источниках бесперебойного питания APC
Уязвимые устройства
MGE Galaxy 3000
MGE Galaxy 4000
MGE Galaxy 5000
MGE Galaxy 6000
MGE Galaxy 9000
MGE EPS 6000
MGE EPS 7000
MGE EPS 8000
MGE Comet UPS
MGE Galaxy PW
STS (MGE Upsilon)
Ссылка:
https://www.schneider-electric.com/
Рейтинг опасности
Уровень опасности: Средний
Воздействие: Разглашение информации
Вектор атаки: Удаленный
CVSS v3:
Base Score: 5.3
Vector: (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
CVE: CVE-2018-7244
Описание уязвимости
Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Разглашение информации" в источниках бесперебойного питания APC.
Уязвимость в MGE SNMP/Web Card 66074 в MGE UPS и MGE STS производства Schneider Electric, связанная с встроенным веб-сервером (порт 80/443/TCP), позволяет злоумышленникам, действующим удаленно и имеющим доступ к сети, получить доступ к важной информации об устройстве.
Решение
Используйте рекомендации производителя:
https://www.schneider-electric.com/en/download/document/SEVD-2018-074-01/
Статус уведомления
20.02.2016 - Производителю отправлены детали уязвимостей
15.03.2018 - Производитель выпустил исправление
18.12.2018 - Публикация уязвимости
Благодарности
Уязвимость обнаружили Илья Карпов и Евгений Дружинин (Исследовательский центр Positive Research компании Positive Technologies)
Ссылки
http://www.securitylab.ru/lab/PT-2018-36
https://www.ptsecurity.ru/
https://www.securitylab.ru/lab/
О Positive Technologies
Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телеком-операторов.
Деятельность компании лицензирована Минобороны России, ФСБ России и ФСТЭК России, продукция сертифицирована Минобороны России и ФСТЭК России.