Последние новости

Сотрудники МЧС предложили ввести обязательную страховку мест большого скопления людей
Тест ДНК опроверг теорию о двойнике заместителя Гитлера
Мужчина танцует бровями эффектнее, чем телом (видео)
Как выглядит одно из самых страшных мест в Великобритании
Абэ в Давосе рассказал об успехах японской "женщиномики"
Опубликовано сообщение футболиста из пропавшего самолета
Медведев призвал "Роскосмос" меньше болтать и больше делать
Как выглядит самый большой водный мост в Европе (фото)
Фотограф показала приключения одинокого астронавта
Минобороны впервые показало крылатую ракету 9М729
Правда ли, что почерк выдает черты человека?
Чудеса маскировки: зачем гадюка притворяется пауком (видео)
Бандиты провели урок "по понятиям" в российской школе
Все еще без чартеров. Как дешевле попасть на курорты Египта
СМИ опубликовали эскизы Trump Tower в Москве
Аналитика: Россияне доверяют биометрической аутентификации в смартфонах
Печати и пломбы времен Византии нашли при раскопках в Новгороде
Астрономы засняли падение метеорита на Луну во время затмения
В Китае за ночь заменили все рельсы на вокзале (видео)
Просто так. В Индии начнут раздавать деньги
Минстрой против списания долгов по коммунальным платежам
Складной смартфон Xiaomi с гибким дисплеем показался на официальном видео
Где находится водопад из "Парка Юрского периода" (фото)
Минстрой назвал исчерпанным потенциал снижения ставок ипотеки
Как пытались раскрыть тайну старейшего человека на Земле
США уведомили, что решение выйти из ДРСМД принято окончательно
Видео на канале: «Неубиваемый» экран в недорогом Vertex Stone: отвертка против телефона
Видео на канале: ПЕРВЫЙ ВЗГЛЯД | Honor View 20 — AllView экран и 48 МП камера
Малярийные комары на Занзибаре адаптировались к травле
Продолжительность жизни: для женщин важнее рост и вес, для мужчин - физическая активность
Роспотребнадзор рассказал, как избежать обморожения
Больше новостей

Злоумышленники могут удаленно отключить оборудование, подключенное к «бесперебойникам» APC


Технологии
302
0
Бражка Positive Technologies заявила об обнаружении её специалистами четырёх уязвимостей в модулях управления сетевыми ключами бесперебойного питания APC братии Schneider...

Бражка Positive Technologies заявила об обнаружении её специалистами четырёх уязвимостей в модулях управления сетевыми ключами бесперебойного питания APC братии Schneider Electric, какие используются в промышленности, медицине, нефтегазовом секторе, фокусах обработки настоящих, системах управления зданиями и в иных сферах. Две уязвимости получили оценку в 10 баллов по шкале CVSS v. 3, что отвечает длиннейшему уровню опасности.
Проблемы безопасности выявлены в модулях управления APC MGE SNMP/Web Card Transverse 66074, введенных в ключах бесперебойного питания Galaxy 5000/6000/9000, EPS 7000/8000/6000, Comet UPS/3000, Galaxy PW/3000/4000, STS(Upsilon и Epsilon).
Первая уязвимость CVE-2018-7243(оценка 10)во встроенном веб-сервере(порт 80/443/TCP)позволяет высланному злоумышленнику в обход системы аутентификации получить абсолютный доступ к управлению ИБП, что видит угрозу непрерывности работы подключенного к электросети оборудования.
Для устранения уязвимости производитель рекомендует заменить ранимый модуль управления на NMC kit G5K9635CH в ИБП Galaxy 5000, Galaxy 6000, Galaxy 9000, а для MGE EPS 7000 и MGE EPS 8000 вытекает ввести модуль управления NMC kit G9KEPS9635CH. Для других чувствительных ИБП замена отсутствует. Кроме того, вендор рекомендует держаться типовых правил обеспечения кибербезопасности для минимизации рисков.
Вторая уязвимость встроенного веб-сервера(порт 80/443/TCP)заключается в возможности получения душещипательной информации об ключе бесперебойного питания(CVE-2018-7244, оценка 5,3). Эксплуатации третьей уязвимости(CVE-2018-7245, оценка 7,3)позволяет злоумышленнику без авторизации изменить неодинаковые параметры устройства, в том числе параметры отключения. Для устранения этих двух уязвимостей необходимо включить аутентификацию для всех HTML-страниц на странице управления доступом(это может быть сделано пользователем при первоначальной установке ИБП).
Четвертая уязвимость(CVE-2018-7246, оценка 10)вручает высланному злоумышленнику возможность перехватить настоящие учетной записи администратора. Если на устройстве не активирован SSL, при запросе страницы контроля доступа настоящие аккаунта будут высланы в разинутом облике. Производитель рекомендует использовать порядок SSL в качестве порядка по умолчанию и добавочно контролировать доступ к интерфейсам управления, применяя, примерно, интерфейс Modbus RTU в ИБП совместно с Modbus/SNMP шлюзом.
<- Apple обнародовала о программе замены батарей для 13-дюймовых MacBook Pro(без сенсорной панели)

0 комментариев