APC waarschuwt voor kritiek lek in online beheersoftware UPS-systemen

[Captain Kirk]

APC waarschuwt voor kritieke kwetsbaarheden in de software waarmee gebruikers en organisaties online hun UPS-systemen kunnen beheren en monitoren (pdf). Het gaat om de APC Easy UPS On-Line UPS Monitoring Software en de Schneider Electric Easy UPS Online Monitoring Software. APC is een dochteronderneming van Schneider en fabrikant van UPS-systemen, die in het geval van stroomuitval servers en andere apparaten van stroom voorzien.

De beheer- en monitoringsoftware bevat twee kritieke kwetsbaarheden waardoor remote code execution mogelijk is. De eerste kwetsbaarheid, aangeduid als CVE-2023-29411, maakt het mogelijk voor een ongeauthenticeerde aanvaller om de inloggegevens van beheerders aan te passen, wat tot het uitvoeren van willekeurige code via de Java RMI-interface kan leiden. In het geval van CVE-2023-29412 is remote code execution door middel van de Java RMI-interface ook mogelijk. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Een derde kwetsbaarheid in de software maakt een denial of service mogelijk. Dit beveiligingslek kreeg een impactscore van 7.5. APC heeft beveiligingsupdates beschikbaar gemaakt en roept gebruikers op om die te installeren. Vorig jaar lieten onderzoekers nog weten dat ze in verschillende APC Smart-UPS-modellen kritieke kwetsbaarheden had ontdekt waardoor het mogelijk is om de noodstroomvoorziening uit te schakelen, de stroomtoevoer te manipuleren of de apparaten zelfs te vernietigen.

 

bron: https://www.security.nl