Последние новости

Уголовную ответственность понесут воспитателя Красноярского края
Нижегородские хозяйства получили 106 медалей на выставке "Золотая осень"
Тюменский опыт развития сельхозкоопераций признан лучшим в России
Выставка Expo Russia - Armenia 2018 пройдет в Ереване 17-19 октября
Титов прокомментировал идею о запрете на возврат продуктов поставщикам
В Счетной палате предупредили о резком росте цен на бензин в 2019 году
В Архангельске приступили к строительству нового рыбоперабатывающего завода
Аксенов рассказал об итогах переговоров в Дамаске
Костромские власти предложат турецким инвесторам площадку для завода
В Чехии призвали оценить эффективность санкций против России
Эксперт оценил потенциал российского экспорта в ЮАР
Многие БАДы содержат компоненты «виагры», «прозака», «пургена» и более опасные сюрпризы
Нарушение эрекции и сексуальная дисфункция - спутники "взрослого развлекательного бизнеса"
Абоненты Билайн получат бесплатный доступ к музыкальному сервису YouTube Music Premium
ASUS представит два новых ZenFone
Samsung Galaxy Note 10 получит больший экран
Апелляция на арест Мамаева будет рассмотрена 19 октября
В крови Тигиева не обнаружено алкоголя и запрещенных веществ
Игнатьев: Россия превзошла сборную Турции во всех компонентах
Гамула: Кокорина и Мамаева надо "понять и простить"
Отец защитника "Манчестер Сити" Компани стал первым темнокожим мэром в Бельгии
Адвокат брата Кокорина обжаловал решение о его аресте
Бывший тренер "Спартака" стал помощником Мурата Якина в "Сьоне"
Врио главы Башкирии рассказал, кого не возьмет в команду
Официальный визит президента Египта в Россию состоится на этой неделе
ПАРНАС примет участие в выборах в Мосгордуму в 2019 году
Встреча дискуссионного клуба "Валдай" в Сочи. Онлайн-трансляция - РИА Новости, 15.10.2018
Кремль прокомментировал слова Трампа о причастности Путина к "отравлениям"
Хакасия через три недели выберет губернатора из одного кандидата
Лаврентьев обсудил с наследным принцем Саудовской Аравии ситуацию в Сирии
Деконструктивизм с окраин: шедевры городского самостроя
Больше новостей

Злоумышленники могут удаленно отключить оборудование, подключенное к «бесперебойникам» APC

Мобильный мир
256
0
Бражка Positive Technologies заявила об обнаружении её специалистами четырёх уязвимостей в модулях управления сетевыми ключами бесперебойного питания APC братии Schneider...

Бражка Positive Technologies заявила об обнаружении её специалистами четырёх уязвимостей в модулях управления сетевыми ключами бесперебойного питания APC братии Schneider Electric, какие используются в промышленности, медицине, нефтегазовом секторе, фокусах обработки настоящих, системах управления зданиями и в иных сферах. Две уязвимости получили оценку в 10 баллов по шкале CVSS v. 3, что отвечает длиннейшему уровню опасности.
Проблемы безопасности выявлены в модулях управления APC MGE SNMP/Web Card Transverse 66074, введенных в ключах бесперебойного питания Galaxy 5000/6000/9000, EPS 7000/8000/6000, Comet UPS/3000, Galaxy PW/3000/4000, STS(Upsilon и Epsilon).
Первая уязвимость CVE-2018-7243(оценка 10)во встроенном веб-сервере(порт 80/443/TCP)позволяет высланному злоумышленнику в обход системы аутентификации получить абсолютный доступ к управлению ИБП, что видит угрозу непрерывности работы подключенного к электросети оборудования.
Для устранения уязвимости производитель рекомендует заменить ранимый модуль управления на NMC kit G5K9635CH в ИБП Galaxy 5000, Galaxy 6000, Galaxy 9000, а для MGE EPS 7000 и MGE EPS 8000 вытекает ввести модуль управления NMC kit G9KEPS9635CH. Для других чувствительных ИБП замена отсутствует. Кроме того, вендор рекомендует держаться типовых правил обеспечения кибербезопасности для минимизации рисков.
Вторая уязвимость встроенного веб-сервера(порт 80/443/TCP)заключается в возможности получения душещипательной информации об ключе бесперебойного питания(CVE-2018-7244, оценка 5,3). Эксплуатации третьей уязвимости(CVE-2018-7245, оценка 7,3)позволяет злоумышленнику без авторизации изменить неодинаковые параметры устройства, в том числе параметры отключения. Для устранения этих двух уязвимостей необходимо включить аутентификацию для всех HTML-страниц на странице управления доступом(это может быть сделано пользователем при первоначальной установке ИБП).
Четвертая уязвимость(CVE-2018-7246, оценка 10)вручает высланному злоумышленнику возможность перехватить настоящие учетной записи администратора. Если на устройстве не активирован SSL, при запросе страницы контроля доступа настоящие аккаунта будут высланы в разинутом облике. Производитель рекомендует использовать порядок SSL в качестве порядка по умолчанию и добавочно контролировать доступ к интерфейсам управления, применяя, примерно, интерфейс Modbus RTU в ИБП совместно с Modbus/SNMP шлюзом.
<- Apple обнародовала о программе замены батарей для 13-дюймовых MacBook Pro(без сенсорной панели)
Источник : http://mobile-review.com/news/zloumyshlenniki-mogut-udalenno-otklyuchit-oborudovanie-podklyuchennoe-k-besperebojnikam-apc

0 комментариев