Schneider Electric 易 UPS 在线监控软件安全漏洞警告

关键要点

• 在Schneider Electric的易 UPS 在线监控软件中发现了三个漏洞，其中两个是关键性漏洞。
• 如果企业不采取提供的补救措施，可能会遭遇远程代码执行、特权提升或身份验证绕过等风险。
• 该漏洞影响数百家公司，Schneider Electric、Eaton和ABB控制着全球约30%的UPS市场。
• 推荐企业采取安全最佳实践，以降低风险。

最近，来自Schneider Electric美国电源转换（APC）的易 UPS在线监控软件被发现存在三个安全漏洞，其中两个漏洞的严重性等级都很高。

在4月19日发布的中，SchneiderElectric表示，未能应用公司提供的补救措施的企业，可能面临远程代码执行、特权提升或身份验证绕过的风险，这可能导致恶意网页代码的执行或不间断电源（UPS）设备功能丧失。

这一漏洞对数百家公司构成威胁，因为SchneiderElectric与Eaton及ABB共同控制着全球约30%的UPS市场。SkyQuest技术咨询公司预计，这一市场到2028年将达到。

考虑到这种软件在数据中心的广泛使用，Vulcan Cyber的高级技术工程师Mike Parkin表示，这里可能会产生广泛影响。他指出，SchneiderElectric的一个重要建议是，将受影响的网络版工具迁移到串行/USB管理工具。

Parkin解释说：“如果攻击者控制了网络化的UPS监测和控制系统，他们可以在需要时实施相当大的拒绝服务（DoS）攻击，通过关闭任何依赖目标电源设备的系统来实现。”

以下是Schneider Electric近期披露的三个漏洞：

漏洞编号 | 严重性 | CVSS评分 | 漏洞描述
—|—|—|—
| 关键性 | 9.8 | 关键功能缺少身份验证 ，可能导致管理凭据变更，允许执行远程代码，不需要在Java RMI接口上进行先前的身份验证。
| 关键性 | 9.8 | 不正确的大小写处理 ，可能导致在通过Java RMI接口操作内部方法时执行远程代码。
| 高危 | 7.5 | 关键功能缺少身份验证 ，未经过身份验证的用户访问Schneider UPS监控服务时，可能导致拒绝服务（DoS）攻击。

Schneider Electric为Windows 10和11，以及Windows Server2016、2019和2022发布了易UPS在线监控软件的缓解措施。该厂商还强烈建议遵循以下行业最佳实践：

• 将控制和安全系统及远程设备放置在防火墙后，并与业务网络隔离。
• 安装物理控制，确保未经授权的人员无法访问公司的工业控制和安全系统、组件、外围设备和网络。
• 将所有控制器放置在锁定的柜子中，决不要将其留在“编程”模式。
• 永远不要将编程软件连接到除其目标设备网络以外的任何网络。
• 在使用移动数据交换方法（如CD和USB驱动器）之前，先进行扫描，以确保其在终端或任何连接这些网络的节点中是安全的。
• 绝不允许连接到除目标网络以外的其他网络的移动设备接入安全或控制网络，除非经过适当清洗。
• 最小化所有控制系统设备和系统的网络暴