El software de monitoreo en línea Easy UPS de APC es vulnerable a la ejecución remota de código arbitrario no autenticado, lo que permite a los piratas informáticos hacerse cargo de los dispositivos y, en el peor de los casos, deshabilitar su funcionalidad por completo.
Los dispositivos de suministro de energía ininterrumpida (UPS) son vitales para proteger los centros de datos, las granjas de servidores y las infraestructuras de red más pequeñas al garantizar un funcionamiento sin problemas en medio de fluctuaciones o cortes de energía.
APC (by Schneider Electric) es una de las marcas de UPS más populares. Sus productos se implementan ampliamente tanto en los mercados de consumo como corporativos, incluida la infraestructura gubernamental, de atención médica, industrial, de TI y minorista.
A principios de este mes, el proveedor publicó una notificación de seguridad para advertir sobre las siguientes tres fallas que afectan a sus productos:
- CVE-2023-29411: Falta autenticación para la función crítica que permite a un atacante cambiar las credenciales de administrador y ejecutar código arbitrario en la interfaz Java RMI. (Puntuación CVSS v3.1: 9.8, «crítica»)
- CVE-2023-29412: Manejo incorrecto de la distinción entre mayúsculas y minúsculas que permite a un atacante ejecutar código arbitrario al manipular métodos internos a través de la interfaz Java RMI. (Puntuación CVSS v3.1: 9.8, «crítica»)
- CVE-2023-29413: Falta autenticación para una función crítica que podría llevar a un atacante no autenticado a imponer una condición de denegación de servicio (DoS). (Puntuación CVSS v3.1: 7.5, «alta»)
Si bien las fallas de denegación de servicio (DoS) generalmente no se consideran muy peligrosas, ya que muchos dispositivos UPS se encuentran en centros de datos, las consecuencias de dicha interrupción se magnifican, ya que podría bloquear la administración remota de dispositivos.
Los defectos anteriores impactan:
- Software de monitoreo en línea Easy UPS de APC v2.5-GA-01-22320 y versiones anteriores
- Software de monitoreo en línea Easy UPS de Schneider Electric v2.5-GA-01-22320 y versiones anteriores
El impacto afecta a todas las versiones de Windows, incluidas 10 y 11, y también a Windows Server 2016, 2019 y 2022.
La acción recomendada para los usuarios del software afectado es actualizar a V2.5-GS-01-23036 o posterior, disponible para descargar desde aquí (APC, SE).
Actualmente, la única mitigación para los clientes con acceso directo a sus unidades Easy UPS es actualizar al paquete de software PowerChute Serial Shutdown (PCSS) en todos los servidores protegidos por su Easy UPS OnLine (modelos SRV, SRVL), que proporciona apagado y monitoreo en serie.
Las recomendaciones generales de seguridad proporcionadas por el proveedor incluyen colocar dispositivos conectados a Internet de misión crítica detrás de firewalls, utilizar VPN para acceso remoto, implementar estrictos controles de acceso físico y evitar dejar dispositivos en modo «Programa».
Investigaciones recientes centradas en los productos de APC revelaron fallas peligrosas llamadas colectivamente ‘TLStorm‘, que podrían dar a los hackers el control de los dispositivos UPS vulnerables y expuestos.
Poco después de la publicación de TLStorm, CISA advirtió sobre ataques dirigidos a dispositivos UPS conectados a Internet, instando a los usuarios a tomar medidas inmediatas para bloquear los ataques y proteger sus dispositivos.
Fuente: https://www.bleepingcomputer.com