Cilmi-baarayaasha amniga ee Armis ayaa daaha ka qaaday saddex bayleel oo ku jira sahayda korontadda ee ay maamusho APC ee aan kala go'a lahayn taasoo u oggolaanaysa kontoroolka fog iyo wax-is-daba-marinta aaladda, sida daminta korantada dekedo gaar ah ama u isticmaalida meel ay ka soo galaan weerarrada nidaamyada kale. Nuglaanta waxaa loo magacaabay TLStorm waxayna saameeyaan APC Smart-UPS (SCL, SMX, SRT series) iyo SmartConnect (SMT, SMTL, SCL iyo SMX taxane).
Labo baylahda waxaa sababa khaladaad ku jira hirgelinta nidaamka TLS ee aaladaha lagu maamulo adeegga daruuriga dhexe ee Schneider Electric. Aaladaha taxanaha ah ee SmartConnect waxay si toos ah ugu xidhmaan adeega daruuriga dhexe marka ay bilaabmaan ama lumaan xidhiidhka, iyo weerarka aan la aqoonsan waxa uu ka faa'iidaysan karaa dayacanka oo uu si buuxda u maamuli karo qalabka isaga oo u soo diraya baakado si gaar ah loo nashqadeeyay UPS.
- CVE-2022-22805 - Bakhtiyayaasha buux dhaafiyay xirmada koodhka dib-u-ururinta ayaa laga faa'iidaystay iyada oo la farsameynayo xidhiidhada soo socda. Dhibaatadu waxa sababa koobiyaynta xogta kaydiyaha marka la farsamaynayo diiwaanada TLS ee kala qaybsan. Ka faa'iidaysiga nuglaanta waxaa fududeeyay maaraynta khaladka khaldan marka la isticmaalayo maktabada Mocana nanoSSL - ka dib soo celinta khaladka, xidhiidhka lama xidhin.
- CVE-2022-22806 - Ka gudubka xaqiijinta marka la dhisayo kalfadhiga TLS ee uu sababay khaladka gobolka intii lagu jiray gorgortanka xidhiidhka. Kaydinta furaha TLS ee aan la aqoon iyo iska indhatirka koodka khaladka ah ee ay soo celisay maktabadda Mocana nanoSSL markii baakidh furaha maran la helay waxa ay suurtagelisay in la iska dhigo server-ka Korontada ee Schneider iyada oo aan la marin heerka beddelka iyo xaqiijinta muhiimka ah.
Nuglaanta saddexaad (CVE-2022-0715) waxay la xiriirtaa hirgelinta khaladka ah ee hubinta firmware-ka la soo dejiyay si loo cusboonaysiiyo waxayna u oggolaanaysaa weeraryahan inuu rakibo firmware wax laga beddelay isagoon xaqiijin saxeexa dhijitaalka ah (waxaa soo baxday in firmware-ku aanu hubin saxeexa dhijitaalka ah gabi ahaanba. , laakiin kaliya waxay isticmaashaa sirta asymmetric oo leh furaha horay loogu sii qeexay firmware-ka) .
Marka lagu daro nuglaanta CVE-2022-22805, weeraryahanku wuxuu bedeli karaa firmware-ka fog isagoo iska dhigaya adeegga daruuraha ee Schneider Electric ama ka bilaabaya cusboonaysiinta shabakada maxalliga ah. Markii uu helay UPS, weeraryahanku wuxuu dhejin karaa albaabka dambe ama kood xaasidnimo ah aaladda, iyo sidoo kale inuu sameeyo kharibaad oo uu damiyo awoodda macaamiisha muhiimka ah, tusaale ahaan, dami awoodda nidaamyada ilaalinta fiidiyowga ee bangiyada ama taageerada nolosha qalabka isbitaalada.
Schneider Electric waxay diyaarisay balastar si ay u xalliso dhibaatooyinka, waxayna sidoo kale diyaarinaysaa cusboonaysiinta firmware. Si loo dhimo khatarta tanaasulka, waxa kale oo lagula talinayaa in la beddelo erayga sirta ah ee caadiga ah ("apc") qalabka leh kaarka NMC (Kaarka Maareynta Shabakadda) oo lagu rakibo shahaadada SSL si dhijitaal ah u saxeexan, iyo sidoo kale in la xaddido gelitaanka UPS ee dabka. Ciwaanada Schneider Electric Cloud kaliya.
Source: opennet.ru