O tagata suʻesuʻe saogalemu mai Armis ua faʻaalia ni faʻafitauli se tolu i le APC na faʻatautaia sapalai eletise e le mafai ona faʻalavelaveina e mafai ona faʻatagaina le pulea mamao o le masini e ave ma faʻaogaina, e pei o le tapeina o le eletise i nisi o ports poʻo le faʻaaogaina e fai ma puna mo osofaʻiga i isi faiga. O faʻafitauli e faʻaigoaina TLStorm ma aʻafia ai masini APC Smart-UPS (SCL, SMX, SRT series) ma SmartConnect (SMT, SMTL, SCL ma SMX series).
O faʻafitauli e lua e mafua mai i mea sese i le faʻatinoina o le TLS protocol i masini e faʻatautaia e ala i le faʻaogaina o le ao mai le Schneider Electric. SmartConnect fa'asologa o masini, i luga o le amataga po'o le leiloa o le feso'ota'iga, e otometi lava ona fa'afeso'ota'i i se 'au'aunaga ao fa'atotonugalemu ma o se tagata osofa'i e aunoa ma le fa'amaoni e mafai ona fa'aaogaina fa'aletonu ma maua ai le pulea atoatoa o le masini e ala i le tu'uina atu o afifi fa'apitoa i le UPS.
- CVE-2022-22805 - O se faʻamaufaʻailoga faʻafefe i totonu o le paʻu toe faʻapipiʻiina code, faʻaaogaina pe a faʻaogaina fesoʻotaʻiga ulufale mai. O le fa'afitauli e mafua mai i le kopiina o fa'amaumauga i se pa'u a'o fa'agasolo fa'amaumauga TLS vaevae. O le faʻaogaina o le faʻafitauli e faʻafaigofieina e ala i le faʻaogaina o mea sese pe a faʻaaogaina le faletusi Mocana nanoSSL - ina ua uma ona toe faʻafoʻi se mea sese, e leʻi tapunia le fesoʻotaʻiga.
- CVE-2022-22806 - Faʻamaonia faʻamaonia i le taimi o le TLS faʻavae faʻavae, mafua mai i se faʻamatalaga sese a le setete i le taimi o feutagaiga fesoʻotaʻiga. E ala i le teuina o se ki TLS null uninitialized ma le amanaʻiaina le code sese na toe faafoi mai e le Mocana nanoSSL faletusi ina ua taunuu mai se afifi ma se ki gaogao, na mafai ona faafoliga o se Schneider Electric server e aunoa ma le alu i le ki faafesuiaʻi ma faʻamaoniga tulaga.
O le faʻafitauli lona tolu (CVE-2022-0715) e fesoʻotaʻi ma le le saʻo o le faʻatinoina o le siakiina o le firmware na sii mai mo le faʻafouina ma faʻatagaina se tagata osofaʻi e faʻapipiʻi le firmware suia e aunoa ma le siakiina o le saini numera (na aliali mai e le o siakiina le saini numera o le firmware. i mea uma, ae naʻo le faʻaogaina o faʻamatalaga faʻamaufaʻailoga ma se ki na muaʻi faʻamalamalamaina i le firmware).
Pe a tuʻufaʻatasia ma le CVE-2022-22805 faʻafitauli, e mafai e le tagata osofaʻi ona sui le firmware mamao e ala i le faʻafoligaina o se Schneider Electric cloud service poʻo le amataina o se faʻafouga mai se fesoʻotaiga i le lotoifale. O le mauaina o le avanoa i le UPS, e mafai e le tagata osofaʻi ona tuʻuina se backdoor poʻo se code leaga i luga o le masini, faʻapea foʻi ma le faia o le sabotage ma le tipiina o le malosiaga i tagata faʻatau taua, mo se faʻataʻitaʻiga, tipi le mana i faiga mataʻituina vitio i faletupe poʻo masini lagolago ola i totonu. falema'i.
Ua saunia e Schneider Electric ni patch e foia ai faafitauli ma o loʻo saunia foi se faʻafouga firmware. Ina ia faʻaitiitia le lamatiaga o le fetuutuunai, e faʻaopoopoina le fautuaina e sui le upu faʻamaonia ("apc") i luga o masini ma se NMC (Network Management Card) ma faʻapipiʻi se tusi faamaonia SSL saini numera, faʻapea foʻi ma le faʻatapulaʻaina o le avanoa i le UPS i luga o le firewall e Schneider Electric Cloud tuatusi na'o.
puna: opennet.ru