Des chercheurs en sécurité informatique ont trouvé des failles de sécurité en partie critiques dans les appareils APC Smart-UPS de Schneider Electric. Les attaquants pourraient pousser et exécuter du code arbitraire sur les appareils, mais aussi mettre les appareils hors service, ce qui les empêcherait de démarrer en cas de panne. Les premières mises à jour du micrologiciel sont disponibles pour certaines gammes d’appareils afin de combler les failles.

Ces alimentations sans interruption font partie de l’Internet des objets et sont généralement connectées au réseau. Les appareils UPS intelligents connectés quittent même le réseau local à cet effet et se connectent à des serveurs en nuage.

Sommaire

Vulnérabilités critiques

Deux des vulnérabilités sont critiques et sont liées au chiffrement TLS. Un débordement de tampon classique peut se produire lors du réassemblage d’un paquet TLS mal traité, ce qui pourrait être utilisé abusivement par des attaquants avec des paquets manipulés pour introduire un code malveillant (CVE-2022-22805, CVSS 9.0, risque « critique« ).

Une vulnérabilité de rejeu pourrait permettre à des attaquants d’obtenir un accès non authentifié. Les chercheurs en sécurité informatique de la société Armis expliquent que cela peut conduire à l’exécution d’un logiciel introduit clandestinement à l’aide d’une mise à jour de micrologiciel détournée (CVE-2022-22806, CVSS 9.0, critique).

Une autre faille de sécurité permettrait aux attaquants d’introduire en fraude des mises à jour de micrologiciel non signées via le réseau (CVE-2022-0715). Le risque est influencé par le fait que les appareils soient « connectés » (CVSS 8.9, haut) ou non (CVSS 6.9, moyen).

Remède

Schneider Electric a mis à disposition un message de sécurité dans lequel sont listés les appareils concernés et les solutions disponibles pour chaque faille de sécurité. Des solutions sont disponibles pour les appareils des séries Smart-UPS SMT et SMC ainsi que SmartConnect SMT et SMC Mises à jour du firmware dans les versions UPS 04.6 (SMT) ainsi que UPS 04.3 (SMC) sont disponibles, qui comblent les failles TLS critiques et atténuent quelque peu le danger représenté par la troisième faille.

Pour les séries Smart-UPS SCL, SMX et SRT ainsi que SmartConnect SMTL, SCL et SMX le fabricant travaille encore sur des mises à jour et recommande, jusqu’à leur mise à disposition, de désactiver temporairement la fonction Smartconnect via le panneau avant ou de débrancher tout câble réseau de l’appareil.

Dans tous les cas, les administrateurs de réseau et les responsables informatiques devraient agir rapidement et installer les mises à jour ou mettre en œuvre les mesures de protection proposées.

Continuer à travailler en cas de panne de courant : les appareils de secours sans interruption en test

Patchez maintenant ! Failles de sécurité critiques dans les APC Smart-UPS

Vulnérabilités critiques

Remède

Continuer à travailler en cas de panne de courant : les appareils de secours sans interruption en test

Plus d'articles

L’intelligence artificielle fait des banques les moteurs du changement

Les jumeaux numériques en tant que catalyseur de transformation des modèles d’affaires

Que signifie ChatGPT pour l’interface client des banques de demain?

Intelligence Artificielle dans le Financement de la Construction

Comment la recherche de fonds peut relier les banques et les petites et moyennes entreprises.

Comment les écosystèmes numériques révolutionnent la banque d’affaires

Les plus lues

Encodage des petits-escroqueries : les criminels essaient maintenant aussi via WhatsApp

iOS: 12 applications gratuites ou réduites pour iPhone et iPad

WhatsApp : arnaque actuelle par le message de code

Sujet du moment