ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > උපාංගයේ දුරස්ථ පාලනයට ඉඩ දෙන APC Smart-UPS හි ඇති දුර්වලතා

උපාංගයේ දුරස්ථ පාලනයට ඉඩ දෙන APC Smart-UPS හි ඇති දුර්වලතා

Armis හි ආරක්ෂක පර්යේෂකයන් විසින් APC කළමනාකරණය කරන ලද අඛණ්ඩ බල සැපයුම් වල දුර්වලතා තුනක් අනාවරණය කර ඇති අතර එමඟින් උපාංගයේ දුරස්ථ පාලනය භාර ගැනීමට සහ හැසිරවීමට ඉඩ සලසයි, එනම් සමහර වරායන් වෙත බලය අක්‍රිය කිරීම හෝ වෙනත් පද්ධතිවලට ප්‍රහාර එල්ල කිරීම සඳහා එය උල්පතක් ලෙස භාවිතා කරයි. දුර්වලතා TLStorm කේත නාමයෙන් හඳුන්වන අතර APC Smart-UPS උපාංග (SCL, SMX, SRT ශ්‍රේණි) සහ SmartConnect (SMT, SMTL, SCL සහ SMX ශ්‍රේණි) වලට බලපායි.

Schneider Electric වෙතින් මධ්‍යගත ක්ලවුඩ් සේවාවක් හරහා කළමනාකරණය කරන උපාංගවල TLS ප්‍රොටෝකෝලය ක්‍රියාත්මක කිරීමේදී ඇති වූ දෝෂයන් නිසා මෙම දුර්වලතා දෙක සිදු වේ. SmartConnect ශ්‍රේණියේ උපාංග, ආරම්භයේදී හෝ සම්බන්ධතාවය නැති වූ විට, මධ්‍යගත වලාකුළු සේවාවකට ස්වයංක්‍රීයව සම්බන්ධ වන අතර සත්‍යාපනයකින් තොරව ප්‍රහාරකයෙකුට UPS වෙත විෙශේෂෙයන් නිර්මාණය කර ඇති පැකේජ යැවීමෙන් අවදානම් ප්‍රයෝජනයට ගෙන උපාංගයේ පූර්ණ පාලනය ලබා ගත හැකිය.

  • CVE-2022-22805 - පැකට් නැවත එකලස් කිරීමේ කේතයේ බෆරයක් පිටාර ගැලීම, පැමිණෙන සම්බන්ධතා සැකසීමේදී භාවිතා කරයි. ඛණ්ඩනය වූ TLS වාර්තා සකසන අතරතුර දත්ත බෆරයකට පිටපත් කිරීම නිසා ගැටළුව ඇතිවේ. Mocana nanoSSL පුස්තකාලය භාවිතා කරන විට වැරදි දෝෂ හැසිරවීම මගින් අනාරක්ෂිත බව සූරාකෑමට පහසුකම් සපයයි - දෝෂයක් ආපසු ලබා දීමෙන් පසුව, සම්බන්ධතාවය වසා නොතිබුණි.
  • CVE-2022-22806 - TLS සැසි පිහිටුවීමේදී සත්‍යාපනය මගහැරීම, සම්බන්ධතා සාකච්ඡා අතරතුර රාජ්‍ය හඳුනාගැනීමේ දෝෂයක් නිසා ඇති විය. ආරම්භ නොකළ ශුන්‍ය TLS යතුරක් හැඹිලිගත කිරීමෙන් සහ හිස් යතුරක් සහිත පැකට්ටුවක් පැමිණි විට Mocana nanoSSL පුස්තකාලය විසින් ආපසු ලබා දුන් දෝෂ කේතය නොසලකා හැරීමෙන්, යතුරු හුවමාරුව සහ සත්‍යාපන අදියර හරහා නොගොස් Schneider Electric සේවාදායකයක් ලෙස පෙනී සිටීමට හැකි විය.
    උපාංගයේ දුරස්ථ පාලනයට ඉඩ දෙන APC Smart-UPS හි ඇති දුර්වලතා

තෙවන අවදානම (CVE-2022-0715) යාවත්කාලීන කිරීම සඳහා බාගත කර ඇති ස්ථිරාංග පරීක්ෂා කිරීමේ වැරදි ක්‍රියාවක් සමඟ සම්බන්ධ වී ඇති අතර ඩිජිටල් අත්සන පරීක්ෂා නොකර නවීකරණය කරන ලද ස්ථිරාංග ස්ථාපනය කිරීමට ප්‍රහාරකයාට ඉඩ දෙයි (ස්ථිරාංගයේ ඩිජිටල් අත්සන පරීක්ෂා කර නොමැති බව පෙනී ගියේය. කිසිසේත්ම, නමුත් ස්ථිරාංගයේ පූර්ව නිශ්චිත යතුරක් සමඟ සමමිතික සංකේතනය පමණක් භාවිතා කරයි) .

CVE-2022-22805 අවදානම සමඟ ඒකාබද්ධ වූ විට, ප්‍රහාරකයෙකුට Schneider Electric cloud සේවාවක් ලෙස පෙනී සිටීමෙන් හෝ දේශීය ජාලයකින් යාවත්කාලීනයක් ආරම්භ කිරීමෙන් ස්ථිරාංග දුරස්ථව ප්‍රතිස්ථාපනය කළ හැකිය. UPS වෙත ප්‍රවේශය ලබා ගැනීමෙන්, ප්‍රහාරකයෙකුට උපාංගයේ පිටුපස දොරක් හෝ ද්වේෂසහගත කේතයක් තැබිය හැකිය, එසේම කඩාකප්පල්කාරී ක්‍රියාවන් සිදු කළ හැකි අතර වැදගත් පාරිභෝගිකයින්ට බලය කපා හැරීම, උදාහරණයක් ලෙස, බැංකු හෝ ජීවිත ආධාරක උපාංගවල වීඩියෝ නිරීක්ෂණ පද්ධතිවල බලය කපා හැරීම. රෝහල්.

උපාංගයේ දුරස්ථ පාලනයට ඉඩ දෙන APC Smart-UPS හි ඇති දුර්වලතා

Schneider Electric විසින් ගැටළු නිරාකරණය කිරීමට පැච් සකස් කර ඇති අතර ස්ථිරාංග යාවත්කාලීන කිරීමක් ද සූදානම් කරමින් සිටී. සම්මුතියේ අවදානම අවම කිරීම සඳහා, NMC (ජාල කළමනාකරණ කාඩ්පත) සහිත උපාංගවල පෙරනිමි මුරපදය (“apc”) වෙනස් කිරීම සහ ඩිජිටල් ලෙස අත්සන් කරන ලද SSL සහතිකයක් ස්ථාපනය කිරීම මෙන්ම ෆයර්වෝලයේ UPS වෙත ප්‍රවේශය සීමා කිරීම ද නිර්දේශ කෙරේ. Schneider Electric Cloud ලිපින පමණි.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න