image

APC waarschuwt voor kritiek lek in online beheersoftware UPS-systemen

dinsdag 25 april 2023, 09:59 door Redactie, 1 reacties

APC waarschuwt voor kritieke kwetsbaarheden in de software waarmee gebruikers en organisaties online hun UPS-systemen kunnen beheren en monitoren (pdf). Het gaat om de APC Easy UPS On-Line UPS Monitoring Software en de Schneider Electric Easy UPS Online Monitoring Software. APC is een dochteronderneming van Schneider en fabrikant van UPS-systemen, die in het geval van stroomuitval servers en andere apparaten van stroom voorzien.

De beheer- en monitoringsoftware bevat twee kritieke kwetsbaarheden waardoor remote code execution mogelijk is. De eerste kwetsbaarheid, aangeduid als CVE-2023-29411, maakt het mogelijk voor een ongeauthenticeerde aanvaller om de inloggegevens van beheerders aan te passen, wat tot het uitvoeren van willekeurige code via de Java RMI-interface kan leiden. In het geval van CVE-2023-29412 is remote code execution door middel van de Java RMI-interface ook mogelijk. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Een derde kwetsbaarheid in de software maakt een denial of service mogelijk. Dit beveiligingslek kreeg een impactscore van 7.5. APC heeft beveiligingsupdates beschikbaar gemaakt en roept gebruikers op om die te installeren. Vorig jaar lieten onderzoekers nog weten dat ze in verschillende APC Smart-UPS-modellen kritieke kwetsbaarheden had ontdekt waardoor het mogelijk is om de noodstroomvoorziening uit te schakelen, de stroomtoevoer te manipuleren of de apparaten zelfs te vernietigen.

Reacties (1)
25-04-2023, 14:35 door Anoniem
of de apparaten zelfs te vernietigen.
Dat is sowieso het beste wat je met een APC UPS kunt doen!
Als je op die iets langere termijn denkt koop dan een Powerware, Eaton oid.
Dan hoef je 3 keer minder vaak je accu's te vervangen dan met een APC.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.