CISA和DoE联合警告，小心针对联网UPS设备的网络攻击

2022年2月29日，美国网络安全和基础设施安全局 (CISA) 和能源部 (DoE) 联合发布了关于减轻针对联网的不间断电源 (UPS) 设备的攻击指南。同时，CISA和DoE警告组织和企业，要小心攻击者使用默认用户名和密码对联网的不间断电源 (UPS) 设备进行攻击。

众所周知，UPS是一种含有储能装置的不间断电源，主要用于给部分对电源稳定性要求较高的设备，提供不间断的电源。当出现断电时，当市电输入正常时，UPS立即将电池的直流电能，通过逆变器切换转换的方法向负载继续供应220V交流电，使负载维持正常工作并保护负载软、硬件不受损坏。

而针对UPS设备攻击的最终目的，是为了对企业和组织中那些依赖电源稳定性的物理设备和 IT 资产进行极端攻击。

因此，指南建议组织立即检查所有UPS和类似系统，并确保无法从互联网访问它们。在必须在线访问UPS设备的情况下，CISA和DoE建议组织实施以下措施：

• 确保可以通过虚拟专用网络访问设备；
• 强制执行多因素身份验证；
• 根据美国国家标准与技术研究院指南使用强密码或密码短语；

此外，CISA还建议组织立即自查目前使用中的UPS设备凭据是否仍为出厂默认设置，这将会大大增加黑客攻击的成功率。指南中还发布了企业如何应对针对UPS设备的攻击，以及事件快速应急响应的最佳实践等。

数据中心机房的噩梦

CISA和DoE之所以联合发布警告，很大程度上是因为此前Armis公司研究人员在APC Smart-UPS设备中发现了三个关键的零日漏洞，黑客利用这三个漏洞可接管 Smart-UPS设备，并发起网络攻击，并将会对极度依赖电源的数据中心的机房造成难以言表的损失。

更糟糕的是，施耐德电气子公司APC是UPS设备供应巨头之一，在全球销售了超过2000万台设备，被广泛应用于医疗、零售、工业等部门。如今这些设备全部都处于黑客的攻击范围之内，购买了这些设备的企业也面临着巨大的网络攻击风险。

这三个零日漏洞可以通过未经身份验证的网络数据包触发，无需任何用户交互，危害性极大，以下是其具体信息：

CVE-2022-22805（CVSS分数：9.0）——TLS缓冲区溢出； CVE-2022-22806（CVSS分数：9.0）——TLS身份验证绕过； CVE-2022-0715（CVSS评分：8.9）–可通过网络更新的未签名固件升级。

其中，前两个漏洞（CVE-2022-22805和CVE-2022-22806）存在于TLS（传输层安全）协议的实施中，该协议将具有“SmartConnect”功能的Smart-UPS设备连接到施耐德电气管理云。

第三个漏洞（CVE-2022-0715），与“几乎所有APC Smart-UPS设备”的固件有关，该固件未经过加密签名，安装在系统上时无法验证其真实性。虽然固件是加密的（对称的），但它缺乏加密签名，允许攻击者创建它的恶意版本并将其作为更新交付给目标UPS设备以实现远程代码执行(RCE)。

2022年3月8日，施耐德电气表示，这些漏洞被归类为“严重”和“高严重性”，影响 SMT、SMC、SCL、SMX、SRT和SMTL系列产品。该公司已开始发布包含针对这些漏洞的补丁的固件更新。对于没有固件补丁的产品，施耐德提供了一系列缓解措施来降低被利用的风险。

参考来源

https://securityaffairs.co/wordpress/129620/security/cisa-doe-warn-attacks-ups.html