Последние новости

Медведев поздравил работников дорожных служб с профессиональным праздником
Мединский: в России выросло поколение, превратно представляющее историю страны
Хэмилтон выиграл квалификацию Гран-при США
Глава Северной Осетии назвал виновного в пожаре на заводе
Убийца из Керчи перед нападением сжег свои вещи и закопал сейф, сообщили СМИ
"Марсель" взял верх над "Ниццей" в матче чемпионата Франции
Глава Северной Осетии назвал виновного в пожаре на заводе "Электроцинк"
Названы регионы с самым дешевым и дорогим сетевым газом
"Вальядолид" обыграл "Бетис" в матче чемпионата Испании
СМИ: S7 предупредила об угрозе остановки работы авиакомпаний
Трамп назвал позором для демократов караваны мигрантов
Обезьяны насмерть закидали мужчину кирпичами в Индии
Российский посол прокомментировал соглашение с Минском по нефтепродуктам
После смертельного ДТП в Подмосковье завели уголовное дело
Хэмилтон стал лучшим во второй свободной практике Гран-при США
Exit poll: правящая партия Качиньского лидирует на местных выборах в Польше
Мёнхенгладбахская "Боруссия" разгромила "Майнц" благодаря хет-трику Хофманна
Поклонская и ее муж объяснили, почему скрывали свадьбу
Какие бывают виды стартапов и этапы их развития
Один из погибших в ДТП с маршруткой в Подмосковье был несовершеннолетним
Глава Северной Осетии выразил соболезнования родным погибшего пожарного
Очевидцы рассказали о смертельном ДТП в Подмосковье
Состояние четырех из пяти отравившихся на Ставрополье школьников улучшилось
Соперник "Зенита" по ЛЕ "Славия" обыграла "Слован" в чемпионате Чехии
Дриусси извинился за свое удаление в матче с "Динамо"
Михаил Горбачев посчитал выход США из ДРСМД ошибкой
СПЧ предупреждал о неблагополучной экологической ситуации на "Электроцинке"
Минздрав Подмосковья уточнил число пострадавших в ДТП автобуса и маршрутки
СМИ рассказали о "фабрике троллей" у принца Саудовской Аравии
Песков заявил, что Путин не стал отменять встречу с Болтоном
"Эйбар" и "Атлетик" из Бильбао сыграли вничью в чемпионате Испании
Больше новостей

Злоумышленники могут удаленно отключить оборудование, подключенное к «бесперебойникам» APC


Технологии
269
0
Бражка Positive Technologies заявила об обнаружении её специалистами четырёх уязвимостей в модулях управления сетевыми ключами бесперебойного питания APC братии Schneider...

Бражка Positive Technologies заявила об обнаружении её специалистами четырёх уязвимостей в модулях управления сетевыми ключами бесперебойного питания APC братии Schneider Electric, какие используются в промышленности, медицине, нефтегазовом секторе, фокусах обработки настоящих, системах управления зданиями и в иных сферах. Две уязвимости получили оценку в 10 баллов по шкале CVSS v. 3, что отвечает длиннейшему уровню опасности.
Проблемы безопасности выявлены в модулях управления APC MGE SNMP/Web Card Transverse 66074, введенных в ключах бесперебойного питания Galaxy 5000/6000/9000, EPS 7000/8000/6000, Comet UPS/3000, Galaxy PW/3000/4000, STS(Upsilon и Epsilon).
Первая уязвимость CVE-2018-7243(оценка 10)во встроенном веб-сервере(порт 80/443/TCP)позволяет высланному злоумышленнику в обход системы аутентификации получить абсолютный доступ к управлению ИБП, что видит угрозу непрерывности работы подключенного к электросети оборудования.
Для устранения уязвимости производитель рекомендует заменить ранимый модуль управления на NMC kit G5K9635CH в ИБП Galaxy 5000, Galaxy 6000, Galaxy 9000, а для MGE EPS 7000 и MGE EPS 8000 вытекает ввести модуль управления NMC kit G9KEPS9635CH. Для других чувствительных ИБП замена отсутствует. Кроме того, вендор рекомендует держаться типовых правил обеспечения кибербезопасности для минимизации рисков.
Вторая уязвимость встроенного веб-сервера(порт 80/443/TCP)заключается в возможности получения душещипательной информации об ключе бесперебойного питания(CVE-2018-7244, оценка 5,3). Эксплуатации третьей уязвимости(CVE-2018-7245, оценка 7,3)позволяет злоумышленнику без авторизации изменить неодинаковые параметры устройства, в том числе параметры отключения. Для устранения этих двух уязвимостей необходимо включить аутентификацию для всех HTML-страниц на странице управления доступом(это может быть сделано пользователем при первоначальной установке ИБП).
Четвертая уязвимость(CVE-2018-7246, оценка 10)вручает высланному злоумышленнику возможность перехватить настоящие учетной записи администратора. Если на устройстве не активирован SSL, при запросе страницы контроля доступа настоящие аккаунта будут высланы в разинутом облике. Производитель рекомендует использовать порядок SSL в качестве порядка по умолчанию и добавочно контролировать доступ к интерфейсам управления, применяя, примерно, интерфейс Modbus RTU в ИБП совместно с Modbus/SNMP шлюзом.
<- Apple обнародовала о программе замены батарей для 13-дюймовых MacBook Pro(без сенсорной панели)

0 комментариев