Последние новости

Россияне могут утратить контроль над своими данными
Coolpad Mega 5A – ультрабюджетный, однако функциональный смартфон
Экипаж "Механика Погодина" пресек попытку проникновения на судно
Украинский депутат призвал завести визовый порядок с Россией
США заподозрили Китай в подготовке удара
Какие прорехи в работе ЦРУ нашла китайская разведка
Пентагон потратил более $34 млн за год на интерьер аэропланов Трампа — СМИ
Посольство РФ обвинило США в психологическом давлении на Бутину
Трамп пригрозил снизить степень поддержки Турции
КНДР потребовала от США подмахнуть миролюбивый договор
Российские мясники попросили правительство поддержать повысить цены
Авиакомпания "Россия" впервинку коротает комплект иноземных пилотов
На сим-картах найдены "белые пятна"
Посол РФ: Москва алкает сотрудничать с Лондоном по делу Скрипалей
СМИ: Путин и Эрдоган могут проложить переговоры в Тегеране
Госдеп заявил об «открытой двери» для диалога с Россией
Численность камер на стезях РФ повысят вдвое к 2024 году
Бомбовозы Су-24 сведут в раздельные смешанные авиаполки
Турецкий клуб загнал футболистов, дабы взять десять коз
Минсельхоз удвоит поставки продовольствия за рубеж
СМИ доложили о новоиспеченных требованиях Visa к России
Депутаты Верховной рады подрались в эфире телеканала из-за гей-парада
США получат аналог российского "Кинжала"
Наименована неожиданная прок завтрака
МИД Турции посоветовал США изменить политику в взаимоотношении Анкары
Минпросвещения сожнет число приемных ребятенков в одной семье
"Зенит" задавил восемь голов в матче Лиги Европы
ВКонтакте выпустила масштабное обновление разоблачила "Музыка" - РИА Новости, 15.08.2018
На конференции роботов в Пекине Трампа "научили" болтать по-китайски - РИА Новости, 16.08.2018
Развитие роботов содействует росту рабочих мест, заявили в НАУРР - РИА Новости, 16.08.2018
Больше новостей

Злоумышленники могут удаленно отключить оборудование, подключенное к «бесперебойникам» APC

Мобильный мир
206
0
Бражка Positive Technologies заявила об обнаружении её специалистами четырёх уязвимостей в модулях управления сетевыми ключами бесперебойного питания APC братии Schneider...

Бражка Positive Technologies заявила об обнаружении её специалистами четырёх уязвимостей в модулях управления сетевыми ключами бесперебойного питания APC братии Schneider Electric, какие используются в промышленности, медицине, нефтегазовом секторе, фокусах обработки настоящих, системах управления зданиями и в иных сферах. Две уязвимости получили оценку в 10 баллов по шкале CVSS v. 3, что отвечает длиннейшему уровню опасности.
Проблемы безопасности выявлены в модулях управления APC MGE SNMP/Web Card Transverse 66074, введенных в ключах бесперебойного питания Galaxy 5000/6000/9000, EPS 7000/8000/6000, Comet UPS/3000, Galaxy PW/3000/4000, STS(Upsilon и Epsilon).
Первая уязвимость CVE-2018-7243(оценка 10)во встроенном веб-сервере(порт 80/443/TCP)позволяет высланному злоумышленнику в обход системы аутентификации получить абсолютный доступ к управлению ИБП, что видит угрозу непрерывности работы подключенного к электросети оборудования.
Для устранения уязвимости производитель рекомендует заменить ранимый модуль управления на NMC kit G5K9635CH в ИБП Galaxy 5000, Galaxy 6000, Galaxy 9000, а для MGE EPS 7000 и MGE EPS 8000 вытекает ввести модуль управления NMC kit G9KEPS9635CH. Для других чувствительных ИБП замена отсутствует. Кроме того, вендор рекомендует держаться типовых правил обеспечения кибербезопасности для минимизации рисков.
Вторая уязвимость встроенного веб-сервера(порт 80/443/TCP)заключается в возможности получения душещипательной информации об ключе бесперебойного питания(CVE-2018-7244, оценка 5,3). Эксплуатации третьей уязвимости(CVE-2018-7245, оценка 7,3)позволяет злоумышленнику без авторизации изменить неодинаковые параметры устройства, в том числе параметры отключения. Для устранения этих двух уязвимостей необходимо включить аутентификацию для всех HTML-страниц на странице управления доступом(это может быть сделано пользователем при первоначальной установке ИБП).
Четвертая уязвимость(CVE-2018-7246, оценка 10)вручает высланному злоумышленнику возможность перехватить настоящие учетной записи администратора. Если на устройстве не активирован SSL, при запросе страницы контроля доступа настоящие аккаунта будут высланы в разинутом облике. Производитель рекомендует использовать порядок SSL в качестве порядка по умолчанию и добавочно контролировать доступ к интерфейсам управления, применяя, примерно, интерфейс Modbus RTU в ИБП совместно с Modbus/SNMP шлюзом.
<- Apple обнародовала о программе замены батарей для 13-дюймовых MacBook Pro(без сенсорной панели)
Источник : http://mobile-review.com/news/zloumyshlenniki-mogut-udalenno-otklyuchit-oborudovanie-podklyuchennoe-k-besperebojnikam-apc

0 комментариев