CyberPower不间断电源 (UPS) 管理软件中发现了一个新的 UPS 管理漏洞,该漏洞暴露了多个缺陷,这些缺陷对各个部门的重要系统的安全产生严重影响。
UPS 管理软件的使用涉及广泛的领域,从数据中心到医疗机构和政府机构。
它在维持不间断运行方面的作用至关重要,因此此类软件中的任何漏洞都成为人们最关心的问题。
了解 CyberPower UPS 管理漏洞
网络安全和基础设施安全局 ( CISA ) 是负责保护美国关键基础设施的关键实体,该机构已发布警报,强调黑客组织对暴露在互联网上的工业控制系统 (ICS) 设备的兴趣日益浓厚。
Cyble 研究与情报实验室 (CRIL) 还分享了一份关于黑客利用 UPS 管理系统来攻击毫无戒心的受害者的详细报告。
“CRIL 研究人员推测,威胁行为者可能很快就会在即将开展的活动中利用 PowerPanel 中披露的关键漏洞。由于潜在的漏洞利用迫在眉睫,因此必须紧急关注修补和缓解措施,以先发制人地阻止任何利用这些漏洞的企图”,CRIL表示。
针对此 CyberPower UPS 漏洞,官方报告详细介绍了有关该缺陷的关键信息以及缓解策略,包括跨多个设备选择最新补丁更新。
PowerPanel 是一款 UPS管理软件,旨在为不间断电源、配电装置和自动转换开关等各种关键系统提供先进的电源管理功能。
其功能包括实时监控、远程管理、事件记录、自动关机和能源管理等,为组织提供确保持续电力可用性和优化能源使用所需的工具。
UPS 管理漏洞概述
PowerPanel Business Software 4.9.0 及更早版本中披露的漏洞给系统完整性和安全性带来了技术风险。这些漏洞的范围从使用硬编码密码和凭据到主动调试代码和SQL 注入缺陷。
利用这些漏洞可能会让攻击者绕过身份验证、获得管理员权限、执行任意代码并危及敏感数据。
过去涉及 UPS 系统网络攻击的事件凸显了此类漏洞的潜在后果。GhostSec和 TeamOneFist 等组织在各种活动中针对 UPS 系统,展示了此类攻击的破坏能力。虽然这些事件的影响可能各不相同,但攻击者直接访问 UPS 系统仍然是一个严重问题。
来源:Cyble解决 PowerPanel Business Software 中的漏洞需要采取积极主动的方法,包括及时修补和实施缓解措施。建议组织实施强大的补丁管理策略,定期进行安全审核和渗透测试,并增强用户意识。此外,网络分段和使用多重身份验证 (MFA) 等措施可以帮助加强对潜在攻击的防御。
文章原文链接:https://www.anquanke.com/post/id/296313
