針對關鍵網絡環境中的UPS備用電源設備的攻擊

此次網絡攻擊者的攻擊目標是不間斷電源（UPS）設備，這些設備會在電力不穩和停電期間提供備用電源。不間斷電源設備通常用于重要的網絡環境中，它可以保護關鍵基礎設施裝置和重要的計算機系統以及IT設備。

根據網絡安全和基礎設施安全局（CISA）和能源部的相關說法，他們警告說，惡意攻擊者主要會通過默認的用戶名和密碼來攻擊互聯網連接的UPS，本月早些時候披露的TLStorm漏洞，其實也是攻擊者的攻擊目標。 

根據CISA周二的警告，近年來，UPS供應商對其增加了物聯網功能，UPS經常會被連接到網絡上，用于電源監控以及日常維護，不間斷電源的負載范圍從小規模（如幾臺服務器）到大規模（如一棟大樓）再到特大規模（如一個數據中心）。

如果攻擊者能夠遠程控制這些設備，它們就可以被用于進一步的攻擊。例如，攻擊者可以利用它們作為一個跳板，侵入公司的內部網絡并竊取數據。或者，在更糟糕的情況下，它們可能被用來切斷關鍵設備或服務的電源，這在工業環境中可能會造成人身傷害，或破壞商業服務，從而會導致重大的經濟損失。

此外，網絡攻擊者還可以執行遠程代碼來改變UPS本身的功能，或對它們（或與之相連的設備）進行物理損壞。

安全專家 Tim Erlin通過電子郵件指出，我們很容易忽略，每個連接到互聯網的設備都會面臨著很大的攻擊風險。供應商提供了將設備接入到互聯網的功能，但這并不意味著它一定就是安全的。每個組織應該確保他們部署的系統是安全的。

因此，對于那些負責UPS維護的人（CISA指出，這可能會包括IT人員、建筑運營人員、工業維修工人或監測服務的第三方承包商）來說，這里有一個很簡單的解決方法。枚舉所有連接的UPS以及類似的系統，并簡單地將它們進行脫機。

CISA補充說，如果實際情況中，必須要使用物聯網的連接，那么管理員應將默認憑證修改為更復雜的用戶名和密碼組合，最好也實施多因素認證（MFA）。根據CISA的說法，除此之外，還可以實施的緩解措施包括確保UPS部署在虛擬專用網絡（VPN）內部，并采用登錄超時或者鎖定功能，確保設備不會持續在線并向外界開放。

Erlin說，使用默認的用戶名和密碼來訪問一個系統并不是一個新出現的技術，你可以通過重置你的UPS系統的憑證來防止惡意攻擊，同時也要確保其他系統不會使用它的默認憑證。

參考及來源：

https://threatpost.com/cyberattackers-ups-backup-power-critical-environments/179169/