黑客正在获取各种联网UPS设备的访问权限

美国网络安全和基础设施安全局 (CISA) 和能源部 (DOE) 日前发出警告称，网络犯罪分子正在通过未更改的默认用户名和口令访问各种联网的UPS设备。该公告要求组织通过立即从互联网上删除管理接口来减轻对不间断电源(UPS) 设备的此类攻击。同时及时清查各类UPS的管理情况，检查是否仍然使用默认管理口令，核查口令复杂度等。

就像路由器和智能照明系统等许多物联网 (IoT) 设备一样 ，UPS电源“通常通过不变的默认用户名和密码”获得访问权限。不更改IoT设备和设备中的默认凭据的风险并不新鲜。这也是一个提醒管理员强化管理的问题。   

CISA和DOE在29日发布的网络洞察咨询中写道，近年来，UPS供应商增加了物联网功能，UPS定期连接到网络上可以方便地进行电力监测和日常维护。

当正常的输入电力供应停服时，UPS设备可以在各种应用中提供清洁和应急电源。ups的负载范围从小(例如，几个服务器)到大(例如，一栋建筑)再到大(例如，一个数据中心)。一个组织中的不同团体可以负责UPS的维护，包括但不限于IT部门、建筑运营商、工业维护机构，甚至第三方合同监控服务供应商。建议的行动主要有三点：

1、立即清查所有UPS和类似的系统，并确保它们不能从互联网访问。在UPS设备或类似系统的管理接口必须通过互联网接入的罕见情况下，必须确保补偿控制措施部署到位，这包括:

• 确保设备或系统位于虚拟专用网络（VPN）之后。
• 强制执行多因素身份验证。
• 按照国家标准和技术协会（NIST）的指导方针使用长口令或口令短语(有关口令强度的解释，请参阅XKCD 936)。

2、检查您的UPS用户名/口令是否仍然设置为出厂默认值。如果是，请更新您的UPS用户名/口令，使其不再使用默认值。这确保了未来，威胁参与者不能使用他们对默认口令的掌握来访问您的UPS。您的供应商可以提供关于更改默认凭证和/或其他推荐实践的额外指导。

3、确保所有UPS和类似系统的凭据符合强口令长度要求，并采用登录超时/锁定功能。

本月早些时候，Armis研究人员在APC Smart-UPS设备中发现了一组三个关键漏洞，称为TLStorm。如果被利用，这些漏洞可能允许攻击者远程操纵数百万企业设备的电源，接管Smart-UPS设备，并可能对关键设施（包括服务器机房、医疗设施、OT/ICS 环境）进行极端的网络物理攻击和住宅。

UPS网络攻击并非耸人听闻！现代UPS电源或成网络攻击跳板或可沦为机房定时炸弹：TLStorm漏洞原理演示及攻击实验

数据中心机房的噩梦--UPS不间断电源设备中发现的三个严重漏洞可让攻击者远程操纵数百万企业设备的电源

网络安全专家乔·韦斯在LinkedIn 帖子中写道，“经过多年的催促和多次UPS 网络事件，CISA 终于加强并就UPS网络漏洞的某些方面发布了指导”。“这当然是可喜的进展。然而，仍然需要做更多的工作来解决不安全的建筑和数据中心控制系统的其他方面：不安全的过程传感器、配电单元、不安全的UPS协议，如简单网络管理协议(SNMP)、Modbus和BACnet（即使使用VPN）等。希望CISA也将他们的工作扩展到这些问题”。

Weiss早些时候曾观察到，“即使破坏UPS会直接导致数据中心设备损坏，但网络保护UPS的指导很少，”他在一篇博客文章中写道。具体来说，SNMP接口卡允许关闭UPS、安排UPS的关闭和重启；关闭选定UPS的电源并耗尽或断开备用电池。Weiss补充说，远程更改UPS设置，无论是恶意的还是无意的，都可能导致火灾或电池化学物质释放，从而导致设施被疏散。

SNMP，网络管理的利器还是黑客攻击的暗器？

参考资源：

1.https://www.cisa.gov/sites/default/files/publications/CISA-DOE_Insights-Mitigating_Vulnerabilities_Affecting_Uninterruptible_Power_Supply_Devices_Mar_29.pdf

2.https://industrialcyber.co/threats-attacks/cisa-doe-warn-that-hackers-are-gaining-access-to-various-internet-connected-ups-devices/

3.https://www.zdnet.com/article/iot-warning-hackers-are-gaining-access-to-ups-devices-heres-how-to-protect-yours/

原文来源：网空闲话

“投稿联系方式：孙中豪 010-82992251 sunzhonghao@cert.org.cn”