Le logiciel de surveillance en ligne Easy UPS d’APC est vulnérable à l’exécution de code à distance arbitraire non authentifié, permettant aux pirates de prendre le contrôle des appareils et, dans le pire des cas, de désactiver complètement sa fonctionnalité.

Les dispositifs d’alimentation sans interruption (UPS) sont essentiels pour protéger les centres de données, les fermes de serveurs et les infrastructures réseau plus petites en garantissant un fonctionnement transparent au milieu des fluctuations ou des pannes de courant.

APC (de Schneider Electric) est l’une des marques d’onduleurs les plus populaires. Ses produits sont largement déployés sur les marchés des consommateurs et des entreprises, y compris les infrastructures gouvernementales, de santé, industrielles, informatiques et de vente au détail.

Plus tôt ce mois-ci, l’éditeur a publié une notification de sécurité pour avertir des trois failles suivantes affectant ses produits :

  • CVE-2023-29411 : authentification manquante pour une fonction critique permettant à un attaquant de modifier les informations d’identification de l’administrateur et d’exécuter du code arbitraire sur l’interface Java RMI. (Score CVSS v3.1 : 9,8, « critique »)
  • CVE-2023-29412 : Mauvaise gestion de la sensibilité à la casse permettant à un attaquant d’exécuter du code arbitraire lors de la manipulation de méthodes internes via l’interface Java RMI. (Score CVSS v3.1 : 9,8, « critique »)
  • CVE-2023-29413 : Authentification manquante pour une fonction critique qui pourrait conduire un attaquant non authentifié à imposer une condition de déni de service (DoS). (Score CVSS v3.1 : 7,5, « élevé »)

Alors que les failles de déni de service (DoS) ne sont généralement pas considérées comme très dangereuses, comme de nombreux onduleurs sont situés dans des centres de données, les conséquences d’une telle panne sont amplifiées car elles pourraient bloquer la gestion à distance des appareils.

Les défauts ci-dessus impactent :

  • Logiciel de surveillance en ligne APC Easy UPS v2.5-GA-01-22320 et versions antérieures
  • Logiciel de surveillance en ligne Schneider Electric Easy UPS v2.5-GA-01-22320 et versions antérieures

L’impact affecte toutes les versions de Windows, y compris 10 et 11, ainsi que Windows Server 2016, 2019 et 2022.

L’action recommandée pour les utilisateurs du logiciel concerné est de mettre à niveau vers la V2.5-GS-01-23036 ou une version ultérieure, disponible en téléchargement ici (APC, SE).

Actuellement, la seule atténuation pour les clients ayant un accès direct à leurs unités Easy UPS consiste à mettre à niveau vers la suite logicielle PowerChute Serial Shutdown (PCSS) sur tous les serveurs protégés par votre Easy UPS OnLine (modèles SRV, SRVL), qui fournit un arrêt et une surveillance en série. .

Les recommandations générales de sécurité fournies par le fournisseur incluent le placement des appareils critiques connectés à Internet derrière des pare-feu, l’utilisation de VPN pour l’accès à distance, la mise en œuvre de contrôles d’accès physiques stricts et le fait d’éviter de laisser les appareils en mode « Programme ».

Des recherches récentes axées sur les produits APC ont révélé des défauts dangereux appelés collectivement «TLStorm», qui pourraient donner aux pirates le contrôle des appareils UPS vulnérables et exposés.

Peu de temps après la publication de TLStorm, la CISA a mis en garde contre les attaques ciblant les appareils UPS connectés à Internet, exhortant les utilisateurs à prendre des mesures immédiates pour bloquer les attaques et protéger leurs appareils.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *