Ua ʻike nā mea noiʻi palekana ʻo Armis i ʻekolu mau nāwaliwali i nā lako mana uninterruptible hoʻokele a APC e ʻae ai i ka hoʻokele mamao a me ka hoʻoponopono ʻana i ka hāmeʻa, e like me ka hoʻohuli ʻana i ka mana i kekahi mau awa a i ʻole ka hoʻohana ʻana iā ia ma ke ʻano he puna no ka hoʻouka ʻana i nā ʻōnaehana ʻē aʻe. Ua kapa ʻia nā mea palupalu i ka inoa ʻo TLStorm a pili iā APC Smart-UPS (SCL, SMX, SRT series) a me SmartConnect (SMT, SMTL, SCL a me SMX series).
Loaʻa ʻelua mau nāwaliwali e nā hewa i ka hoʻokō ʻana i ka protocol TLS i nā polokalamu i mālama ʻia ma o kahi lawelawe kapuaʻi kikowaena mai Schneider Electric. Hoʻopili maʻalahi nā polokalamu SmartConnect i kahi lawelawe kapuaʻi kikowaena ma ka hoʻomaka ʻana a i ʻole ka nalowale o ka pilina, a hiki i ka mea hoʻouka kaua me ka hōʻoia ʻole ke hoʻohana i nā nāwaliwali a loaʻa ka mana piha o ka hāmeʻa ma o ka hoʻouna ʻana i nā ʻeke i hoʻolālā kūikawā ʻia i ka UPS.
- CVE-2022-22805 - Hoʻonui ʻia ka pahu i loko o ke code reassembly packet i hoʻohana ʻia i ka wā e hana ana i nā pilina e hiki mai ana. Hoʻokumu ʻia ka pilikia ma ke kope ʻana i ka ʻikepili i ka buffer i ka wā e hana ana i nā moʻolelo TLS i ʻāpana. Hoʻohana ʻia ka hoʻohana ʻana i ka nāwaliwali e ka hoʻohana hewa ʻana i ka wā e hoʻohana ai i ka waihona Mocana nanoSSL - ma hope o ka hoʻihoʻi ʻana i kahi hewa, ʻaʻole i pani ʻia ka pilina.
- CVE-2022-22806 - Kaalo ʻana i ka hōʻoia ʻana i ka wā e hoʻokumu ai i kahi hālāwai TLS ma muli o kahi hewa mokuʻāina i ka wā kūkākūkā pili. ʻO ka hoʻopaʻa ʻana i kahi kī TLS null uninitialized a me ka nānā ʻole ʻana i ke code hewa i hoʻihoʻi ʻia e ka waihona Mocana nanoSSL i ka wā i loaʻa ai kahi ʻeke me kahi kī kī ʻole i hiki ke hoʻohālike i kahi kikowaena Schneider Electric me ka hele ʻole ʻana i ke kahua hoʻololi kī a hōʻoia.
ʻO ke kolu o ka vulnerability (CVE-2022-0715) pili me ka hoʻokō hewa ʻole o ka nānā ʻana i ka firmware i hoʻoiho ʻia no ka hoʻonui ʻana a hiki i ka mea hoʻouka ke hoʻokomo i ka firmware i hoʻololi ʻia me ka ʻole o ka hōʻoia ʻana i ka pūlima kikohoʻe (ua ʻike ʻia ʻaʻole nānā ka firmware i ka pūlima kikohoʻe. , akā hoʻohana wale i ka symmetric encryption me kahi kī i koho mua ʻia i ka firmware).
Hoʻohui pū ʻia me ka vulnerability CVE-2022-22805, hiki i ka mea hoʻouka ke hoʻololi i ka firmware ma kahi mamao ma ka hoʻopili ʻana i kahi lawelawe kapuaʻi Schneider Electric a i ʻole ma ka hoʻomaka ʻana i kahi mea hou mai kahi pūnaewele kūloko. I ka loaʻa ʻana o ka UPS, hiki i ka mea hoʻouka ke kau i kahi backdoor a i ʻole code malicious ma ka hāmeʻa, me ka hana ʻana i ka sabotage a hoʻopau i ka mana i nā mea kūʻai nui, no ka laʻana, hoʻopau i ka mana i nā ʻōnaehana nānā wikiō ma nā panakō a i ʻole ke kākoʻo ola. nā mea hana ma nā halemai.
Ua hoʻomākaukau ʻo Schneider Electric i nā pākuʻi e hoʻoponopono i nā pilikia, a ke hoʻomākaukau nei hoʻi i kahi hōʻano firmware. No ka hōʻemi ʻana i ka pilikia o ka hoʻololi ʻana, ua ʻōlelo ʻia e hoʻololi i ka ʻōlelo huna ("apc") ma nā polokalamu me kahi kāleka NMC (Network Management Card) a hoʻokomo i kahi palapala SSL i hoʻopaʻa inoa ʻia, a me ka hoʻopaʻa ʻana i ka UPS ma ka pā ahi. i nā wahi helu Schneider Electric Cloud wale nō.
Source: opennet.ru