日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
CISA和DoE聯(lián)合警告,小心針對(duì)聯(lián)網(wǎng)UPS設(shè)備的網(wǎng)絡(luò)攻擊

2022年2月29日,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 和能源部 (DoE) 聯(lián)合發(fā)布了關(guān)于減輕針對(duì)聯(lián)網(wǎng)的不間斷電源 (UPS) 設(shè)備的攻擊指南。同時(shí),CISA和DoE警告組織和企業(yè),要小心攻擊者使用默認(rèn)用戶名和密碼對(duì)聯(lián)網(wǎng)的不間斷電源 (UPS) 設(shè)備進(jìn)行攻擊。

十年的開(kāi)化網(wǎng)站建設(shè)經(jīng)驗(yàn),針對(duì)設(shè)計(jì)、前端、開(kāi)發(fā)、售后、文案、推廣等六對(duì)一服務(wù),響應(yīng)快,48小時(shí)及時(shí)工作處理。營(yíng)銷型網(wǎng)站的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同,自動(dòng)調(diào)整開(kāi)化建站的顯示方式,使網(wǎng)站能夠適用不同顯示終端,在瀏覽器中調(diào)整網(wǎng)站的寬度,無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站,都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì),從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)建站從事“開(kāi)化網(wǎng)站設(shè)計(jì)”,“開(kāi)化網(wǎng)站推廣”以來(lái),每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

眾所周知,UPS是一種含有儲(chǔ)能裝置的不間斷電源,主要用于給部分對(duì)電源穩(wěn)定性要求較高的設(shè)備,提供不間斷的電源。當(dāng)出現(xiàn)斷電時(shí),當(dāng)市電輸入正常時(shí),UPS立即將電池的直流電能,通過(guò)逆變器切換轉(zhuǎn)換的方法向負(fù)載繼續(xù)供應(yīng)220V交流電,使負(fù)載維持正常工作并保護(hù)負(fù)載軟、硬件不受損壞。

而針對(duì)UPS設(shè)備攻擊的最終目的,是為了對(duì)企業(yè)和組織中那些依賴電源穩(wěn)定性的物理設(shè)備和 IT 資產(chǎn)進(jìn)行極端攻擊。

因此,指南建議組織立即檢查所有UPS和類似系統(tǒng),并確保無(wú)法從互聯(lián)網(wǎng)訪問(wèn)它們。在必須在線訪問(wèn)UPS設(shè)備的情況下,CISA和DoE建議組織實(shí)施以下措施:

  • 確保可以通過(guò)虛擬專用網(wǎng)絡(luò)訪問(wèn)設(shè)備;
  • 強(qiáng)制執(zhí)行多因素身份驗(yàn)證;
  • 根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院指南使用強(qiáng)密碼或密碼短語(yǔ);

此外,CISA還建議組織立即自查目前使用中的UPS設(shè)備憑據(jù)是否仍為出廠默認(rèn)設(shè)置,這將會(huì)大大增加黑客攻擊的成功率。指南中還發(fā)布了企業(yè)如何應(yīng)對(duì)針對(duì)UPS設(shè)備的攻擊,以及事件快速應(yīng)急響應(yīng)的最佳實(shí)踐等。

數(shù)據(jù)中心機(jī)房的噩夢(mèng)

CISA和DoE之所以聯(lián)合發(fā)布警告,很大程度上是因?yàn)榇饲癆rmis公司研究人員在APC Smart-UPS設(shè)備中發(fā)現(xiàn)了三個(gè)關(guān)鍵的零日漏洞,黑客利用這三個(gè)漏洞可接管 Smart-UPS設(shè)備,并發(fā)起網(wǎng)絡(luò)攻擊,并將會(huì)對(duì)極度依賴電源的數(shù)據(jù)中心的機(jī)房造成難以言表的損失。

更糟糕的是,施耐德電氣子公司APC是UPS設(shè)備供應(yīng)巨頭之一,在全球銷售了超過(guò)2000萬(wàn)臺(tái)設(shè)備,被廣泛應(yīng)用于醫(yī)療、零售、工業(yè)等部門(mén)。如今這些設(shè)備全部都處于黑客的攻擊范圍之內(nèi),購(gòu)買(mǎi)了這些設(shè)備的企業(yè)也面臨著巨大的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

這三個(gè)零日漏洞可以通過(guò)未經(jīng)身份驗(yàn)證的網(wǎng)絡(luò)數(shù)據(jù)包觸發(fā),無(wú)需任何用戶交互,危害性極大,以下是其具體信息:

  • CVE-2022-22805(CVSS分?jǐn)?shù):9.0)——TLS緩沖區(qū)溢出;
  • CVE-2022-22806(CVSS分?jǐn)?shù):9.0)——TLS身份驗(yàn)證繞過(guò);
  • CVE-2022-0715(CVSS評(píng)分:8.9)–可通過(guò)網(wǎng)絡(luò)更新的未簽名固件升級(jí)。

其中,前兩個(gè)漏洞(CVE-2022-22805和CVE-2022-22806)存在于TLS(傳輸層安全)協(xié)議的實(shí)施中,該協(xié)議將具有“SmartConnect”功能的Smart-UPS設(shè)備連接到施耐德電氣管理云。

第三個(gè)漏洞(CVE-2022-0715),與“幾乎所有APC Smart-UPS設(shè)備”的固件有關(guān),該固件未經(jīng)過(guò)加密簽名,安裝在系統(tǒng)上時(shí)無(wú)法驗(yàn)證其真實(shí)性。雖然固件是加密的(對(duì)稱的),但它缺乏加密簽名,允許攻擊者創(chuàng)建它的惡意版本并將其作為更新交付給目標(biāo)UPS設(shè)備以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)。

2022年3月8日,施耐德電氣表示,這些漏洞被歸類為“嚴(yán)重”和“高嚴(yán)重性”,影響 SMT、SMC、SCL、SMX、SRT和SMTL系列產(chǎn)品。該公司已開(kāi)始發(fā)布包含針對(duì)這些漏洞的補(bǔ)丁的固件更新。對(duì)于沒(méi)有固件補(bǔ)丁的產(chǎn)品,施耐德提供了一系列緩解措施來(lái)降低被利用的風(fēng)險(xiǎn)。

參考來(lái)源:https://securityaffairs.co/wordpress/129620/security/cisa-doe-warn-attacks-ups.html


標(biāo)題名稱:CISA和DoE聯(lián)合警告,小心針對(duì)聯(lián)網(wǎng)UPS設(shè)備的網(wǎng)絡(luò)攻擊
當(dāng)前地址:http://www.5511xx.com/article/cddhhhj.html