APC的UPS監控軟件曝出嚴重漏洞

不間斷電源（UPS）產品可保障IT設備在電源波動或中斷期間無縫運行，在保護數據中心、服務器群和小型網絡基礎設施方面至關重要。

APC（施耐德電氣旗下）是最流行的UPS品牌之一。其UPS產品廣泛部署在消費者和企業市場，包括政府、醫療保健、工業、IT和零售基礎設施。根據Armis Labs的數據，全球80%的企業都在使用APC的UPS產品。

近日，APC的Easy UPS在線監控軟件曝出未經身份驗證即可執行任意遠程代碼（RCE）的漏洞，黑客能夠接管設備，在最糟糕的情況下，完全禁用其功能。

本月早些時候，APC發布了一份安全通知，披露了三個影響其產品的漏洞：

CVE-2023-29411：缺少關鍵功能的身份驗證，允許攻擊者更改管理員憑據并在Java RMI接口上執行任意代碼。（CVSS v3.1分數：9.8，“嚴重”）
CVE-2023-29412：未正確處理區分大小寫，允許攻擊者在通過Java RMI接口操作內部方法時運行任意代碼。（CVSS v3.1分數：9.8，“嚴重”）
CVE-2023-29413：缺少關鍵功能的身份驗證，可能導致未經身份驗證的攻擊者實施拒絕服務（DoS）攻擊。（CVSS v3.1分數：7.5，“高危”）

雖然拒絕服務（DoS）漏洞通常不是非常危險，但由于許多UPS設備位于數據中心，DoS攻擊導致中斷的后果會被放大，可能會阻止設備的遠程管理。

存在上述漏洞的軟件版本包括：

上述軟件版本在所有版本的Windows（包括10和11，以及Windows Server 2016、2019和2022）上都受漏洞影響。

對于受漏洞影響的UPS軟件用戶，APC給出的建議是升級到V2.5-GS-01-23036或更高版本。

目前，對于直接訪問Easy UPS設備的客戶來說，唯一的緩解措施是升級到受Easy UPS OnLine（SRV，SRVL型號）保護的所有服務器上的PowerChute串行關閉（PCSS）軟件套件，后者提供串行關閉和監控功能。

APC提供的安全建議還包括將關鍵任務聯網設備置于防火墻后面，利用VPN進行遠程訪問，實施嚴格的物理訪問控制，以及避免將設備置于“程序”模式。

APC近來產品漏洞不斷，就在上個月，安全研究人員在APC產品中發現代號“TLStorm”的高危零日漏洞，黑客可利用該漏洞控制易受攻擊和暴露的UPS設備。

在TLStorm發布后不久，CISA也警告針對聯網UPS設備的攻擊，敦促用戶立即采取行動阻止攻擊并保護他們的設備。