APC warns of critical unauthenticated RCE flaws in UPS software
2023/04/24 BleepingComputer — APC の Easy UPS Online Monitoring Software には、認証を必要としない任意のリモートコード実行の脆弱性が存在し、脅威アクターによる機器を乗っ取りが生じ、最悪の場合には機能の完全な停止にいたる恐れがある。UPS (無停電電源装置) は、データセンター/サーバーファーム/小規模なネットワークインフラを保護するために不可欠であり、電力変動や停電中であってもシームレスな動作を保証するものだ。
APC (Schneider Electric) は、最も人気のある UPS ブランドの1つである。同社の製品は、政府機関/医療機関/製造業/IT 業/小売業のインフラなどにおいて、コンシューマ/エンタープライズの双方で広範に展開されている。
今月の初めに APC は、同社の製品に影響を及ぼす、以下の3件の欠陥について警告する、セキュリティ通知を発表した:
- CVE-2023-29411:重要な機能における認証の欠落により、管理者情報を変更した攻撃者に対して、Java RMI インターフェース上で任意のコード実行を許す。(CVSS 値:9.8 Crirtical)
- CVE-2023-29412:大文字小文字の扱いが不適切なため、Java RMI インターフェースを介して内部メソッドを操作する際に、攻撃者に任意のコード実行を許す。 (CVSS 値:9.8 Critical)
- CVE-2023-29413:重要な機能の認証に不備があり、認証されていない攻撃者に対してサービス拒否 (DoS) を許す可能性がある。(CVSS:7.5 High)
サービス拒否(DoS)の欠陥は、一般的にあまり危険視されていないが、数多くの UPS 機器がデータセンターに設置されているため、デバイスのリモート管理がブロックされると、停止の影響が拡大していく恐れがある。
上記の脆弱性が影響を及ぼす製品は、以下の通りである:
- APC Easy UPS Online Monitoring Software v2.5-GA-01-22320 以下
- Schneider Electric Easy UPS Online Monitoring Software v2.5-GA-01-22320 以下
Windows 10/11 を含む全 Windows バージョンおよび、Windows Server 2016/2019/2022 に影響する。
影響を受けるソフトウェアのユーザーに対する推奨措置は、ここからダウンロードできる V2.5-GS-01-23036 以降へのアップグレード (APC, SE) である。
Easy UPS ユニットに直接アクセスできる顧客に対する、現時点における唯一の緩和策は、Easy UPS OnLine (SRV/SRVL モデル) により保護されている全サーバで、シリアル・シャットダウンとモニタリングを提供する PowerChute Serial Shutdown (PCSS) ソフトウェア・スイートにアップグレードすることだ。
また、セキュリティに関する一般的な推奨事項として挙げられるのは、ミッションクリティカルなインターネット接続デバイスをファイアウォールの背後に置く、リモートアクセスに VPN を利用する、厳格な物理的アクセス管理を行う、デバイスをプログラム・モードで放置しないなどがある。
APC 製品にフォーカスした最近の研究により、TLStorm と総称される危険な欠陥が明らかになり、脆弱で露出した UPS デバイスの制御を、ハッカーに許す可能性があることが分かっている。
TLStorm が公表された直後に CISA は、インターネットに接続された UPS デバイスを標的とした攻撃について警告した。この攻撃を阻止して、デバイスを保護するために、ユーザーに早急に行動を起こすよう促していた。
UPS (無停電電源装置) の脆弱性というのは、さまざまなインフラに影響を及ぼすので、とても怖いですね。お隣のキュレーション・チームに聞いてみたら、4月26日にレポートを上げたと言っていました。なお、文中にある TLStorm については、2022/03/10 に「Schneider APC UPS デバイスに深刻な脆弱性:TLStorm という総称を持つ RCE」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.