Выявлены критические уязвимости в источниках бесперебойного питания APC производства Schneider Electric
Две уязвимости получили оценку в 10 баллов по шкале CVSS v.3, что соответствует наивысшему уровню опасности.
Проблемы безопасности выявлены в модулях управления APC MGE SNMP/Web Card Transverse 66074, установленных в источниках бесперебойного питания Galaxy 5000/6000/9000, EPS 7000/8000/6000, Comet UPS/3000, Galaxy PW/3000/4000, STS (Upsilon и Epsilon). Хотя продолжается выпуск только Upsilon STS из перечисленных устройств, а остальные модели были сняты с производства несколько лет назад, оборудование до сих пор используется многими компаниями и официально поддерживается производителем. При этом доступные в Интернете порты оборудования можно найти с помощью стадартных поисковых систем: Google, Shodan, Censys.
Вендор рекомендует придерживаться стандартных правил обеспечения кибербезопасности для минимизации рисков.
Первая уязвимость CVE-2018-7243 (оценка 10) во встроенном веб-сервере (порт 80/443/TCP) позволяет хакеру получить полный доступ к управлению ИБП в обход системы аутентификации, что представляет угрозу непрерывности работы подключенного к электросети оборудования. Для устранения уязвимости производитель рекомендует заменить уязвимый модуль управления на NMC kit G5K9635CH в ИБП Galaxy 5000, Galaxy 6000, Galaxy 9000, а для MGE EPS 7000 и MGE EPS 8000 следует установить модуль управления NMC kit G9KEPS9635CH. Для остальных уязвимых ИБП замена отсутствует. Кроме того, вендор рекомендует придерживаться стандартных правил обеспечения кибербезопасности для минимизации рисков.
Вторая уязвимость встроенного веб-сервера (порт 80/443/TCP) заключается в возможности получения чувствительной информации об источнике бесперебойного питания (CVE-2018-7244, оценка 5,3), а эксплуатации третьей уязвимости (CVE-2018-7245, оценка 7,3) позволяет злоумышленнику без авторизации изменить различные параметры устройства, в том числе параметры отключения. Для устранения этих уязвимостей необходимо включить аутентификацию для всех HTML-страниц на странице управления доступом (это можно сделать при первоначальной установке ИБП).
Четвертая уязвимость (CVE-2018-7246, оценка 10) дает злоумышленнику возможность перехватить данные учетной записи администратора. Если на устройстве не активирован SSL, при запросе страницы контроля доступа данные аккаунта будут отправлены в открытом виде. Производитель рекомендует использовать режим SSL в качестве режима по умолчанию и дополнительно контролировать доступ к интерфейсам управления, применяя, например, интерфейс Modbus RTU в ИБП cовместно с Modbus/SNMP-шлюзом. [ptsecurity.com]