CISA和DoE联合警告，小心针对联网UPS设备的网络攻击

2022年2月29日，美国网络安全和基础设施安全局 (CISA) 和能源部 (DoE) 联合发布了关于减轻针对联网的不间断电源 (UPS) 设备的攻击指南。同时，CISA和DoE警告组织和企业，要小心攻击者使用默认用户名和密码对联网的不间断电源 (UPS) 设备进行攻击。

十年的开化网站建设经验，针对设计、前端、开发、售后、文案、推广等六对一服务，响应快，48小时及时工作处理。营销型网站的优势是能够根据用户设备显示端的尺寸不同，自动调整开化建站的显示方式，使网站能够适用不同显示终端，在浏览器中调整网站的宽度，无论在任何一种浏览器上浏览网站，都能展现优雅布局与设计，从而大程度地提升浏览体验。创新互联建站从事“开化网站设计”,“开化网站推广”以来，每个客户项目都认真落实执行。

众所周知，UPS是一种含有储能装置的不间断电源，主要用于给部分对电源稳定性要求较高的设备，提供不间断的电源。当出现断电时，当市电输入正常时，UPS立即将电池的直流电能，通过逆变器切换转换的方法向负载继续供应220V交流电，使负载维持正常工作并保护负载软、硬件不受损坏。

而针对UPS设备攻击的最终目的，是为了对企业和组织中那些依赖电源稳定性的物理设备和 IT 资产进行极端攻击。

因此，指南建议组织立即检查所有UPS和类似系统，并确保无法从互联网访问它们。在必须在线访问UPS设备的情况下，CISA和DoE建议组织实施以下措施：

• 确保可以通过虚拟专用网络访问设备；
• 强制执行多因素身份验证；
• 根据美国国家标准与技术研究院指南使用强密码或密码短语；

此外，CISA还建议组织立即自查目前使用中的UPS设备凭据是否仍为出厂默认设置，这将会大大增加黑客攻击的成功率。指南中还发布了企业如何应对针对UPS设备的攻击，以及事件快速应急响应的最佳实践等。

数据中心机房的噩梦

CISA和DoE之所以联合发布警告，很大程度上是因为此前Armis公司研究人员在APC Smart-UPS设备中发现了三个关键的零日漏洞，黑客利用这三个漏洞可接管 Smart-UPS设备，并发起网络攻击，并将会对极度依赖电源的数据中心的机房造成难以言表的损失。

更糟糕的是，施耐德电气子公司APC是UPS设备供应巨头之一，在全球销售了超过2000万台设备，被广泛应用于医疗、零售、工业等部门。如今这些设备全部都处于黑客的攻击范围之内，购买了这些设备的企业也面临着巨大的网络攻击风险。

这三个零日漏洞可以通过未经身份验证的网络数据包触发，无需任何用户交互，危害性极大，以下是其具体信息：

• CVE-2022-22805(CVSS分数：9.0)——TLS缓冲区溢出；
• CVE-2022-22806(CVSS分数：9.0)——TLS身份验证绕过；
• CVE-2022-0715(CVSS评分：8.9)–可通过网络更新的未签名固件升级。

其中，前两个漏洞(CVE-2022-22805和CVE-2022-22806)存在于TLS(传输层安全)协议的实施中，该协议将具有“SmartConnect”功能的Smart-UPS设备连接到施耐德电气管理云。

第三个漏洞(CVE-2022-0715)，与“几乎所有APC Smart-UPS设备”的固件有关，该固件未经过加密签名，安装在系统上时无法验证其真实性。虽然固件是加密的(对称的)，但它缺乏加密签名，允许攻击者创建它的恶意版本并将其作为更新交付给目标UPS设备以实现远程代码执行(RCE)。

2022年3月8日，施耐德电气表示，这些漏洞被归类为“严重”和“高严重性”，影响 SMT、SMC、SCL、SMX、SRT和SMTL系列产品。该公司已开始发布包含针对这些漏洞的补丁的固件更新。对于没有固件补丁的产品，施耐德提供了一系列缓解措施来降低被利用的风险。

参考来源：https://securityaffairs.co/wordpress/129620/security/cisa-doe-warn-attacks-ups.html

网站名称：CISA和DoE联合警告，小心针对联网UPS设备的网络攻击
浏览路径：http://www.csdahua.cn/qtweb/news27/239427.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网