HomeSecurityΣφάλματα zero-day σε APC UPS μπορούν να απενεργοποιήσουν την τροφοδοσία

Σφάλματα zero-day σε APC UPS μπορούν να απενεργοποιήσουν την τροφοδοσία

Τρία κρίσιμα σφάλματα zero-day, που ονομάστηκαν TLStorm θα μπορούσα να επιτρέψουν σε κακόβουλους χρήστες, να πάρουν τον έλεγχο συσκευών αδιάλειπτης παροχής ρεύματος (UPS) από την APC.

σφάλματα zero-day

Δείτε επίσης: Google: Διόρθωσε το πρώτο Chrome zero-day bug για το 2022

Τα σφάλματα επηρεάζουν τα συστήματα APC Smart-UPS που είναι δημοφιλή σε διάφορους τομείς δραστηριότητας, συμπεριλαμβανομένων των κυβερνητικών συσκευών, της υγειονομικής περίθαλψης, της βιομηχανίας, της πληροφορικής και της λιανικής.

Οι συσκευές UPS λειτουργούν ως εφεδρικές λύσεις έκτακτης ανάγκης και υπάρχουν σε κρίσιμα περιβάλλοντα, όπως κέντρα δεδομένων, βιομηχανικές εγκαταστάσεις, νοσοκομεία.

Ερευνητές στην Armis, μια εταιρεία που παρέχει λύσεις ασφαλείας για επιχειρησιακές συσκευές, βρήκαν τα τρία ζητήματα σε προϊόντων SmartConnect και Smart-UPS της APC.

#secnews #asteroid 

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη. Ένας "δυνητικά επικίνδυνος" αστεροειδής στο μέγεθος ενός γηπέδου ποδοσφαίρου θα περάσει κοντά στον πλανήτη μας τις πρώτες πρωινές ώρες αύριο (4 Δεκεμβρίου) — και μπορείτε να τον παρακολουθήσετε ζωντανά. Ο γιγαντιαίος διαστημικός βράχος, γνωστός ως 2020 XR, ο οποίος ταξιδεύει με περίπου 44.300 χιλιόμετρα την ώρα, θα φτάσει στην ελάχιστη απόσταση των 2,2 εκατομμυρίων χιλιομέτρων από τη Γη στις 0:27 ET — η πλησιέστερη προσέγγισή του στον πλανήτη μας, σύμφωνα με το Jet Propulsion Laboratory (JPL) της NASA.

00:00 Εισαγωγή
00:21 Κοντινότερη προσέγγιση
00:55 Near Earth Obgects
01:31 Μέγεθος
01:59 Επόμενη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/633112/terastios-dinitika-epikindinos-asteroeidis-plisiazei-gi/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #asteroid

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη. Ένας "δυνητικά επικίνδυνος" αστεροειδής στο μέγεθος ενός γηπέδου ποδοσφαίρου θα περάσει κοντά στον πλανήτη μας τις πρώτες πρωινές ώρες αύριο (4 Δεκεμβρίου) — και μπορείτε να τον παρακολουθήσετε ζωντανά. Ο γιγαντιαίος διαστημικός βράχος, γνωστός ως 2020 XR, ο οποίος ταξιδεύει με περίπου 44.300 χιλιόμετρα την ώρα, θα φτάσει στην ελάχιστη απόσταση των 2,2 εκατομμυρίων χιλιομέτρων από τη Γη στις 0:27 ET — η πλησιέστερη προσέγγισή του στον πλανήτη μας, σύμφωνα με το Jet Propulsion Laboratory (JPL) της NASA.

00:00 Εισαγωγή
00:21 Κοντινότερη προσέγγιση
00:55 Near Earth Obgects
01:31 Μέγεθος
01:59 Επόμενη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/633112/terastios-dinitika-epikindinos-asteroeidis-plisiazei-gi/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlNBWmhrWDNKVF9N

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη

SecNewsTV 15 hours ago

Δύο από τα σφάλματα, το CVE-2022-22805 και το CVE-2022-22806 βρίσκονται στην υλοποίηση του πρωτοκόλλου TLS (Transport Layer Security) που συνδέει τις συσκευές Smart-UPS με δυνατότητα «SmartConnect» με το cloud διαχείρισης Schneider Electric.

Το τρίτο, που προσδιορίζεται ως CVE-2022-0715, σχετίζεται με το υλικολογισμικό “σχεδόν όλων των συσκευών APC Smart-UPS”, το οποίο δεν είναι κρυπτογραφικά υπογεγραμμένο και η αυθεντικότητά του δεν μπορεί να επαληθευτεί όταν εγκατασταθεί στο σύστημα.

Ενώ το υλικολογισμικό είναι κρυπτογραφημένο, στερείται κρυπτογραφικής υπογραφής, επιτρέποντας στους hackers να δημιουργήσουν μια κακόβουλη εκδοχή του και να το παραδώσουν ως ενημέρωση, ώστε να στοχεύουν συσκευές UPS για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα (RCE).

Δείτε ακόμα: Apple: Διορθώνει zero-day bug που επιτρέπει παραβίαση iPhone, iPad και Mac

Οι ερευνητές της Armis κατάφεραν να εκμεταλλευτούν το ελάττωμα και να δημιουργήσουν μια κακόβουλη έκδοση υλικολογισμικού APC, που έγινε αποδεκτή από τις συσκευές Smart-UPS ως επίσημη ενημέρωση, μια διαδικασία που εκτελείται διαφορετικά ανάλογα με τον στόχο.

Οι πιο πρόσφατες συσκευές Smart-UPS που διαθέτουν τη λειτουργία σύνδεσης cloud SmartConnect μπορούν να αναβαθμιστούν από την κονσόλα διαχείρισης cloud μέσω του Διαδικτύου

Οι παλαιότερες συσκευές Smart-UPS που χρησιμοποιούν την Κάρτα Διαχείρισης Δικτύου (NMC) μπορούν να ενημερωθούν μέσω του τοπικού δικτύου

UPS

Οι περισσότερες συσκευές Smart-UPS μπορούν επίσης να αναβαθμιστούν χρησιμοποιώντας μονάδα USB.

Λαμβάνοντας υπόψη ότι οι ευάλωτες μονάδες UPS APC χρησιμοποιούνται σε περίπου 8 στις 10 εταιρείες και τα ευαίσθητα περιβάλλοντα που εξυπηρετούν (ιατρικές εγκαταστάσεις, δίκτυο ICS, δωμάτια διακομιστών), οι επιπτώσεις μπορεί να έχουν σημαντικές φυσικές συνέπειες.

Τα σφάλματα που σχετίζονται με το TLS, φαίνεται να είναι πιο σοβαρά, καθώς μπορούν να εκμεταλλευθούν από έναν εισβολέα που δεν έχει πιστοποιηθεί, χωρίς αλληλεπίδραση με τον χρήστη, σε αυτό που είναι γνωστό ως επίθεση μηδενικού κλικ.

Δείτε επίσης: Η ευπάθεια zero-day της Zimbra επιτρέπει την κλοπή email

Η έκθεση των ερευνητών εξηγεί τις τεχνικές πτυχές και για τις τρεις ευπάθειες του TLStorm και παρέχει ένα σύνολο συστάσεων για την ασφάλεια των συσκευών UPS:

  • Εγκαταστήστε τις διαθέσιμες ενημερώσεις κώδικα στον ιστότοπο της Schneider Electric
  • Εάν χρησιμοποιείτε το NMC, αλλάξτε τον προεπιλεγμένο κωδικό πρόσβασης NMC (“apc”) και εγκαταστήστε ένα πιστοποιητικό SSL με δημόσια υπογραφή, έτσι ώστε ένας εισβολέας στο δίκτυό σας να μην μπορεί να υποκλέψει τον νέο κωδικό πρόσβασης. Για να περιορίσετε περαιτέρω την επιφάνεια επίθεσης του NMC σας, ανατρέξτε στο Εγχειρίδιο Schneider Electric Security Handbook για NMC 2 και NMC 3.
  • Αναπτύξτε λίστες ελέγχου πρόσβασης (ACL) στις οποίες οι συσκευές UPS επιτρέπεται να επικοινωνούν μόνο με ένα μικρό σύνολο συσκευών διαχείρισης και το Schneider Electric Cloud μέσω κρυπτογραφημένων επικοινωνιών.

Η Armis δημοσίευσε επίσης μία μελέτη με όλες τις λεπτομέρειες της έρευνας.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS