Дата-центры в опасности: источники бесперебойного питания APC подвержены удалённым хакерским атакам

Как сообщает компания APC, один из самых популярных производителей источников бесперебойного питания (ИБП), программное обеспечение Easy UPS Online Monitoring уязвимо для неавторизованных злоумышленников и допускает выполнение удаленного кода, что позволяет хакерам влиять на работу устройств или полностью отключать их.

Устройства бесперебойного питания жизненно важны для защиты центров обработки данных, серверных ферм и небольших сетевых инфраструктур, обеспечивая бесперебойную работу при колебаниях напряжения или перебоях в подаче электроэнергии.

APC (от Schneider Electric) — одна из самых популярных марок ИБП. Продукты компании широко используются как на потребительском, так и на корпоративном рынке, включая правительственные учреждения, здравоохранение, промышленную инфраструктуру, IT и розничную торговлю.

Ранее в этом месяце поставщик опубликовал уведомление о безопасности , предупреждающее о следующих трёх уязвимостях, влияющих на его продукты:

• CVE-2023-29411: отсутствие аутентификации для критической функции, позволяющее злоумышленникам изменять учётные данные администратора и выполнять произвольный код в интерфейсе Java RMI (Оценка CVSS v3.1: 9,8).
• CVE-2023-29412: неправильная обработка учёта регистра, позволяющая злоумышленникам запускать произвольный код при манипулировании внутренними методами через интерфейс Java RMI (Оценка CVSS v3.1: 9,8).
• CVE-2023-29413: отсутствие аутентификации для критической функции, способное привести к инициированию неавторизованными злоумышленниками DoS-атак (Оценка CVSS v3.1: 7,5).

Недостатки, связанные с отказом в обслуживании (DoS), обычно не считаются слишком опасными, однако поскольку многие ИБП-устройства расположены в центрах обработки данных, последствия такого сбоя усиливаются.

Вышеуказанные уязвимости влияют на:

• программное обеспечение APC Easy UPS Online Monitoring 5-GA-01-22320 и более ранних версий;
• программное обеспечение Schneider Electric Easy UPS Online Monitoring версии 5-GA-01-22320 и более ранних версий.

Пользователям затронутого программного обеспечения рекомендуется выполнить обновление до версии V2.5-GS-01-23036 или более поздней, доступной для загрузки здесь ( APC , SE ).

Программный пакет PowerChute Serial Shutdown (PCSS), используемых на серверах, защищенных Easy UPS OnLine (модели SRV, SRVL) тоже рекомендуется обновить до последней версии .

Общие рекомендации по безопасности, предоставленные поставщиком, также включают защиту критически важных подключенных к Интернету устройств при помощи брандмауэров, использование VPN для удалённого доступа, внедрение строгого контроля физического доступа и недопущение оставления устройств в «программном» режиме.