E toru nga whakaraeraetanga i whakaatuhia e nga Kairangahau Haumarutanga mai i Armis i roto i te whakahaere a APC i nga taputapu hiko e kore e haukotia e taea ai te whakahaere mamao o te taputapu ki te tango me te raweke, penei i te whakaweto i te hiko ki etahi tauranga, te whakamahi ranei hei puna mo te whakaeke i etahi atu punaha. Ko nga whakaraeraetanga he ingoa ingoa TLStorm ka pa ki nga taputapu APC Smart-UPS (SCL, SMX, SRT raupapa) me SmartConnect (SMT, SMTL, SCL me SMX raupapa).
Ko nga whakaraeraetanga e rua na nga hapa i roto i te whakatinanatanga o te kawa TLS i roto i nga taputapu e whakahaerehia ana ma te ratonga kapua matua mai i a Schneider Electric. Ko nga taputapu raupapa SmartConnect, i te tiimatanga, i te ngaro ranei o te hononga, ka hono aunoa ki te ratonga kapua matua, ka taea e te kaitukino me te kore motuhēhēnga te whakamahi whakaraeraetanga me te whai mana katoa ki runga i te taputapu ma te tuku i nga kete i hangaia motuhake ki te UPS.
- CVE-2022-22805 - He putunga putunga i roto i te waehere whakahiato paanui, i whakamahia i te wa e tukatuka ana i nga hononga taumai. Ko te take i puta mai i te kape i nga raraunga ki te papaa i te wa e tukatuka ana i nga rekoata TLS kua pakaru. Ko te whakaraeraetanga o te whakaraeraetanga ka whakahaeretia e te whakahaere hapa he i te wa e whakamahi ana i te whare pukapuka Mocana nanoSSL - i muri i te whakahokinga mai o te hapa, kaore i katia te hononga.
- CVE-2022-22806 - Motuhēhēnga karo i te wa whakatuu hui TLS, na te hapa rapunga a te kawanatanga i te waa whiriwhiringa hononga. Na roto i te keteroki i te taviri TLS null kaore i te mohiohia me te kore e aro ki te waehere hapa i whakahokia mai e te whare pukapuka nanoSSL Mocana i te taenga mai o te kete me te taviri kau, ka taea te kii he tūmau Schneider Electric me te kore e uru ki te whakawhiti matua me te waahi whakamana.
Ko te whakaraeraetanga tuatoru (CVE-2022-0715) e pa ana ki te whakatinanatanga he o te tirotiro i te firmware i tangohia mo te whakahou me te tuku i te kaiwhaiwhai ki te whakauru i te firmware whakarereke me te kore e tirotiro i te waitohu mamati (kaore i tirohia te waitohu mamati o te firmware. i nga mea katoa, engari ka whakamahia anake te whakamunatanga hangarite me te matua kua tautuhia ki roto i te firmware) .
Ka honoa ki te whakaraeraetanga CVE-2022-22805, ka taea e te kaitawhai te whakakapi i te maataki maataki ma te tohu i tetahi ratonga kapua Schneider Electric, ma te timata ranei i te whakahou mai i te whatunga rohe. Ka whai waahi ki te UPS, ka taea e te kaitawhai te whakanoho he kuaha o muri, he tohu kino ranei ki runga i te taputapu, me te mahi i te sabotage me te tapahi i te mana ki nga kaihoko nui, hei tauira, te tapahi mana ki nga punaha tirotiro ataata i nga peeke, i nga taputapu tautoko ora ranei hōhipera.
Kua whakareri a Schneider Electric i nga taapiri hei whakatika i nga raru, kei te whakarite hoki i te whakahou firmware. Hei whakaiti i te tupono o te taupatupatu, ka tūtohutia kia huri i te kupuhipa taunoa (“apc”) i runga i nga taputapu whai NMC (Kaari Whakahaere Whatunga) me te whakauru i tetahi tiwhikete SSL kua hainatia a mamati, me te whakawhāiti i te uru ki te UPS i runga i te papangaahi. Ko nga korero a Schneider Electric Cloud anake.
Source: opennet.ru