Дата-центры в опасности: источники бесперебойного питания APC подвержены удалённым хакерским атакам

Как сообщает компания APC , один из самых популярных производителей источников бесперебойного питания (ИБП), программное обеспечение Easy UPS Online Monitoring уязвимо для неавторизованных злоумышленников и допускает выполнение удаленного кода, что позволяет хакерам влиять на работу устройств или полностью отключать их.

Устройства бесперебойного питания жизненно важны для защиты центров обработки данных, серверных ферм и небольших сетевых инфраструктур, обеспечивая бесперебойную работу при колебаниях напряжения или перебоях в подаче электроэнергии.

APC (от Schneider Electric ) — одна из самых популярных марок ИБП. Продукты компании широко используются как на потребительском, так и на корпоративном рынке, включая правительственные учреждения, здравоохранение, промышленную инфраструктуру, IT и розничную торговлю.

Ранее в этом месяце поставщик опубликовал уведомление о безопасности , предупреждающее о следующих трёх уязвимостях, влияющих на его продукты:

• CVE-2023-29411: отсутствие аутентификации для критической функции, позволяющее злоумышленникам изменять учётные данные администратора и выполнять произвольный код в интерфейсе Java RMI (Оценка CVSS v3.1: 9,8).
• CVE-2023-29412: неправильная обработка учёта регистра, позволяющая злоумышленникам запускать произвольный код при манипулировании внутренними методами через интерфейс Java RMI (Оценка CVSS v3.1: 9,8).
• CVE-2023-29413: отсутствие аутентификации для критической функции, способное привести к инициированию неавторизованными злоумышленниками DoS-атак (Оценка CVSS v3.1: 7,5).

Недостатки, связанные с отказом в обслуживании (DoS), обычно не считаются слишком опасными, однако поскольку многие ИБП-устройства расположены в центрах обработки данных, последствия такого сбоя усиливаются.

Вышеуказанные уязвимости влияют на:

• программное обеспечение APC Easy UPS Online Monitoring 5-GA-01-22320 и более ранних версий;
• программное обеспечение Schneider Electric Easy UPS Online Monitoring версии 5-GA-01-22320 и более ранних версий.

Пользователям затронутого программного обеспечения рекомендуется выполнить обновление до версии V2.5-GS-01-23036 или более поздней, доступной для загрузки здесь ( APC , SE ).

Программный пакет PowerChute Serial Shutdown (PCSS), используемых на серверах, защищенных Easy UPS OnLine (модели SRV, SRVL) тоже рекомендуется обновить до последней версии .

Общие рекомендации по безопасности, предоставленные поставщиком, также включают защиту критически важных подключенных к Интернету устройств при помощи брандмауэров, использование VPN для удалённого доступа, внедрение строгого контроля физического доступа и недопущение оставления устройств в «программном» режиме.