Dans un avis conjoint avec le ministère de l’Énergie, la Cybersecurity and Infrastructure Security Agency (CISA) a averti aujourd’hui les organisations américaines de protéger les onduleurs connectés à Internet contre les attaques en cours.
Les onduleurs sont régulièrement utilisés comme solutions d’alimentation de secours dans les environnements critiques, notamment les centres de données, les installations industrielles, les salles de serveurs et les hôpitaux.
Ils sont également connectés à Internet pour permettre aux administrateurs d’effectuer diverses tâches à distance telles que la surveillance de l’alimentation et la maintenance de routine, ce qui les expose également aux attaques.
« La Cybersecurity and Infrastructure Security Agency (CISA) et le ministère de l’Énergie sont conscients que des acteurs de la menace accèdent à une variété d’appareils d’alimentation sans coupure (UPS) connectés à Internet, souvent via des noms d’utilisateur et des mots de passe par défaut inchangés », ont déclaré les agences fédérales. mentionné.
« Les organisations peuvent atténuer les attaques contre leurs onduleurs, qui fournissent une alimentation de secours dans une variété d’applications lorsque les sources d’alimentation normales sont perdues, en supprimant les interfaces de gestion d’Internet. »
Comment bloquer les attaques
Les mesures d’atténuation recommandées incluent la recherche de tous les onduleurs et autres systèmes d’alimentation de secours sur les réseaux des organisations et la garantie qu’ils ne sont pas accessibles via Internet.
Si la connexion de leurs interfaces de gestion à Internet ne peut être évitée, les administrateurs sont avisés [PDF] pour placer les appareils derrière un réseau privé virtuel (VPN), activer l’authentification multifacteur (MFA) et des mots de passe ou des phrases secrètes forts pour empêcher les tentatives de force brute.
Les recommandations incluent également la vérification que les onduleurs n’utilisent pas les informations d’identification par défaut d’usine pour les tentatives des attaquants de les utiliser et de prendre le contrôle des appareils ciblés.
Les organisations américaines sont également invitées à mettre en œuvre des politiques de temporisation/verrouillage de connexion pour bloquer ces attaques en cours contre les onduleurs et systèmes similaires.
Outre les informations d’identification par défaut, les acteurs de la menace peuvent également utiliser des vulnérabilités de sécurité critiques pour permettre des prises de contrôle à distance des dispositifs d’alimentation sans coupure (UPS) et leur permettre de les griller ou de désactiver l’alimentation à distance.
Par exemple, un ensemble de vulnérabilités critiques de type zero-day suivies comme TLStorm exploitables à distance par des attaquants non authentifiés sans interaction de l’utilisateur sont connues pour avoir un impact sur les appareils SmartConnect et Smart-UPS d’APC, une filiale de Schneider Electric.