APC的UPS监控软件曝出严重漏洞

不间断电源（UPS）产品可保障IT设备在电源波动或中断期间无缝运行，在保护数据中心、服务器群和小型网络基础设施方面至关重要。

APC（施耐德电气旗下）是最流行的UPS品牌之一。其UPS产品广泛部署在消费者和企业市场，包括政府、医疗保健、工业、IT和零售基础设施。根据Armis Labs的数据，全球80%的企业都在使用APC的UPS产品。

近日，APC的Easy UPS在线监控软件曝出未经身份验证即可执行任意远程代码（RCE）的漏洞，黑客能够接管设备，在最糟糕的情况下，完全禁用其功能。

本月早些时候，APC发布了一份安全通知，披露了三个影响其产品的漏洞：

• CVE-2023-29411：缺少关键功能的身份验证，允许攻击者更改管理员凭据并在Java RMI接口上执行任意代码。（CVSS v3.1分数：9.8，“严重”）
• CVE-2023-29412：未正确处理区分大小写，允许攻击者在通过Java RMI接口操作内部方法时运行任意代码。（CVSS v3.1分数：9.8，“严重”）
• CVE-2023-29413：缺少关键功能的身份验证，可能导致未经身份验证的攻击者实施拒绝服务（DoS）攻击。（CVSS v3.1分数：7.5，“高危”）

虽然拒绝服务（DoS）漏洞通常不是非常危险，但由于许多UPS设备位于数据中心，DoS攻击导致中断的后果会被放大，可能会阻止设备的远程管理。

存在上述漏洞的软件版本包括：

• APC Easy UPS在线监控软件v2.5-GA-01-22320及更早版本
• 施耐德电气Easy UPS在线监控软件v2.5-GA-01-22320及更早版本

上述软件版本在所有版本的Windows（包括10和11，以及Windows Server 2016、2019和2022）上都受漏洞影响。

对于受漏洞影响的UPS软件用户，APC给出的建议是升级到V2.5-GS-01-23036或更高版本。

目前，对于直接访问Easy UPS设备的客户来说，唯一的缓解措施是升级到受Easy UPS OnLine（SRV，SRVL型号）保护的所有服务器上的PowerChute串行关闭（PCSS）软件套件，后者提供串行关闭和监控功能。

APC提供的安全建议还包括将关键任务联网设备置于防火墙后面，利用VPN进行远程访问，实施严格的物理访问控制，以及避免将设备置于“程序”模式。

APC近来产品漏洞不断，就在上个月，安全研究人员在APC产品中发现代号“TLStorm”的高危零日漏洞，黑客可利用该漏洞控制易受攻击和暴露的UPS设备。

在TLStorm发布后不久，CISA也警告针对联网UPS设备的攻击，敦促用户立即采取行动阻止攻击并保护他们的设备。