¡Atención usuarios de UPS! Schneider Electric ha solucionado numerosas vulnerabilidades graves en su software APC Easy UPS Online Monitoring. La explotación de estas fallas podría permitir la ejecución remota de código y ataques DoS en dispositivos de destino.
Vulnerabilidades del software de monitoreo en línea fácil de APC
Según un aviso reciente de Schneider Electric, los proveedores han parcheado tres vulnerabilidades de seguridad diferentes en su software de monitoreo en línea APC Easy UPS.
Específicamente, dos de estas vulnerabilidades podrían permitir ataques de ejecución remota de código por parte de un adversario. Mientras que una tercera vulnerabilidad podría permitir al atacante inducir una denegación de servicio en los dispositivos de destino.
A continuación se muestra una revisión rápida de estas vulnerabilidades.
- CVE-2023-29411 (CVSS 9.8): Esta es una vulnerabilidad de gravedad crítica que podría permitir a un atacante modificar las credenciales de administrador. La explotación de la falla podría conducir a la ejecución remota de código en la interfaz Java RMI. Schneider Electric le dio crédito al investigador de Trend Micro Zero Day Initiative, Esjay, por informar sobre la vulnerabilidad.
- CVE-2023-29412 (CVSS 9.8): Otra falla de gravedad crítica que existía debido al manejo deficiente de la distinción entre mayúsculas y minúsculas. La explotación de la falla podría permitir que un atacante remoto manipule métodos internos a través de la interfaz Java RMI y ejecute códigos. Esta vulnerabilidad llamó la atención de dos investigadores, Esjay de Trend Micro Zero Day Initiative y Nicholas Miles de Tenable Network Security.
- CVE-2023-29413 (CVSS 7.5): Esta es una vulnerabilidad de alta gravedad que podría permitir que un adversario no autenticado provoque una denegación de servicio en el servicio objetivo de Schneider UPS Monitor. La revisión agradece a Esjay de Trend Micro ZDI por informar sobre este problema.
Mitigaciones recomendadas y actualizaciones corregidas
El proveedor explicó que estas vulnerabilidades afectan a los clientes de Easy Ups Software para Windows 10 y 11 y Windows Server 2016, 2019 y 2022. Sin embargo, Schneider Electric actualmente ha lanzado los parches solo para la versión de Windows 10. Las versiones de software actualizadas incluyen el software de monitoreo en línea Easy UPS de APC, versión V2.5-GA-01-23036 y el software de monitoreo en línea Easy UPS de Schneider Electric, versión V2.5-GS-01-23036.
Sin embargo, para los usuarios de Windows 11 y Windows Server 2016, 2019 y 2022, los proveedores recomiendan actualizar las unidades Easy UPS con el software PowerChute Serial Shutdown (PCSS) en todos los servidores protegidos por Easy UPS On-Line (modelos SRV, SRVL) como atenuación.
Háganos saber sus pensamientos en los comentarios.