黑客正在獲取各種聯網UPS設備的訪問權限

美國網絡安全和基礎設施安全局 (CISA) 和能源部 (DOE) 日前發出警告稱，網絡犯罪分子正在通過未更改的默認用戶名和口令訪問各種聯網的UPS設備。該公告要求組織通過立即從互聯網上刪除管理接口來減輕對不間斷電源(UPS) 設備的此類攻擊。同時及時清查各類UPS的管理情況，檢查是否仍然使用默認管理口令，核查口令復雜度等。

就像路由器和智能照明系統等許多物聯網 (IoT) 設備一樣 ，UPS電源“通常通過不變的默認用戶名和密碼”獲得訪問權限。不更改IoT設備和設備中的默認憑據的風險并不新鮮。這也是一個提醒管理員強化管理的問題。   

CISA和DOE在29日發布的網絡洞察咨詢中寫道，近年來，UPS供應商增加了物聯網功能，UPS定期連接到網絡上可以方便地進行電力監測和日常維護。

當正常的輸入電力供應停服時，UPS設備可以在各種應用中提供清潔和應急電源。ups的負載范圍從小(例如，幾個服務器)到大(例如，一棟建筑)再到大(例如，一個數據中心)。一個組織中的不同團體可以負責UPS的維護，包括但不限于IT部門、建筑運營商、工業維護機構，甚至第三方合同監控服務供應商。建議的行動主要有三點：

1、立即清查所有UPS和類似的系統，并確保它們不能從互聯網訪問。在UPS設備或類似系統的管理接口必須通過互聯網接入的罕見情況下，必須確保補償控制措施部署到位，這包括:

• 確保設備或系統位于虛擬專用網絡（VPN）之后。
• 強制執行多因素身份驗證。
• 按照國家標準和技術協會（NIST）的指導方針使用長口令或口令短語(有關口令強度的解釋，請參閱XKCD 936)。

2、檢查您的UPS用戶名/口令是否仍然設置為出廠默認值。如果是，請更新您的UPS用戶名/口令，使其不再使用默認值。這確保了未來，威脅參與者不能使用他們對默認口令的掌握來訪問您的UPS。您的供應商可以提供關于更改默認憑證和/或其他推薦實踐的額外指導。

3、確保所有UPS和類似系統的憑據符合強口令長度要求，并采用登錄超時/鎖定功能。

本月早些時候，Armis研究人員在APC Smart-UPS設備中發現了一組三個關鍵漏洞，稱為TLStorm。如果被利用，這些漏洞可能允許攻擊者遠程操縱數百萬企業設備的電源，接管Smart-UPS設備，并可能對關鍵設施（包括服務器機房、醫療設施、OT/ICS 環境）進行極端的網絡物理攻擊和住宅。

UPS網絡攻擊并非聳人聽聞！現代UPS電源或成網絡攻擊跳板或可淪為機房定時炸彈：TLStorm漏洞原理演示及攻擊實驗

數據中心機房的噩夢--UPS不間斷電源設備中發現的三個嚴重漏洞可讓攻擊者遠程操縱數百萬企業設備的電源

網絡安全專家喬·韋斯在LinkedIn 帖子中寫道，“經過多年的催促和多次UPS 網絡事件，CISA 終于加強并就UPS網絡漏洞的某些方面發布了指導”。“這當然是可喜的進展。然而，仍然需要做更多的工作來解決不安全的建筑和數據中心控制系統的其他方面：不安全的過程傳感器、配電單元、不安全的UPS協議，如簡單網絡管理協議(SNMP)、Modbus和BACnet（即使使用VPN）等。希望CISA也將他們的工作擴展到這些問題”。

Weiss早些時候曾觀察到，“即使破壞UPS會直接導致數據中心設備損壞，但網絡保護UPS的指導很少，”他在一篇博客文章中寫道。具體來說，SNMP接口卡允許關閉UPS、安排UPS的關閉和重啟；關閉選定UPS的電源并耗盡或斷開備用電池。Weiss補充說，遠程更改UPS設置，無論是惡意的還是無意的，都可能導致火災或電池化學物質釋放，從而導致設施被疏散。

SNMP，網絡管理的利器還是黑客攻擊的暗器？

參考資源：

1.https://www.cisa.gov/sites/default/files/publications/CISA-DOE_Insights-Mitigating_Vulnerabilities_Affecting_Uninterruptible_Power_Supply_Devices_Mar_29.pdf

2.https://industrialcyber.co/threats-attacks/cisa-doe-warn-that-hackers-are-gaining-access-to-various-internet-connected-ups-devices/

3.https://www.zdnet.com/article/iot-warning-hackers-are-gaining-access-to-ups-devices-heres-how-to-protect-yours/

原文來源：網空閑話

“投稿聯系方式：孫中豪 010-82992251 sunzhonghao@cert.org.cn”