Attention, utilisateurs d'onduleurs ! Schneider Electric a corrigé de nombreuses vulnérabilités graves dans son logiciel de surveillance en ligne APC Easy UPS. L'exploitation de ces failles pourrait permettre l'exécution de code à distance et des attaques DoS sur les appareils cibles.
Vulnérabilités du logiciel de surveillance en ligne APC Easy
Selon un avis récent de Schneider Electric, les fournisseurs ont corrigé trois vulnérabilités de sécurité différentes dans son logiciel de surveillance en ligne APC Easy UPS.
Plus précisément, deux de ces vulnérabilités pourraient permettre des attaques d'exécution de code à distance de la part d'un adversaire. Tandis qu'une troisième vulnérabilité pourrait permettre à l'attaquant d'induire un déni de service sur les appareils cibles.
Tu trouveras ci-dessous un examen rapide de ces vulnérabilités.
- CVE-2023-29411 (CVSS 9.8) : C'est une vulnérabilité de gravité critique qui pourrait permettre à un attaquant de modifier les identifiants de l'administrateur. L'exploitation de la faille pourrait conduire à l'exécution de code à distance sur l'interface Java RMI. Schneider Electric a crédité le chercheur Esjay de la Trend Micro Zero Day Initiative pour avoir signalé la vulnérabilité.
- CVE-2023-29412 (CVSS 9.8) : Une autre faille de gravité critique qui existait en raison d'une mauvaise gestion de la sensibilité à la casse. L'exploitation de cette faille pouvait permettre à un attaquant distant de manipuler des méthodes internes via l'interface Java RMI et d'exécuter des codes. Cette vulnérabilité a attiré l'attention de deux chercheurs, Esjay de la Trend Micro Zero Day Initiative et Nicholas Miles de Tenable Network Security.
- CVE-2023-29413 (CVSS 7.5) : Il s'agit d'une vulnérabilité de haute gravité qui pourrait permettre à un adversaire non authentifié d'induire un déni de service sur le service Schneider UPS Monitor cible. L'avis remercie Esjay de Trend Micro ZDI d'avoir signalé ce problème.
Atténuations recommandées et mises à jour des correctifs
Le fournisseur a expliqué que ces vulnérabilités affectent les clients du logiciel Easy Ups pour Windows 10 et 11 et Windows Server 2016, 2019 et 2022. Cependant, Schneider Electric a actuellement publié les correctifs pour la version Windows 10 uniquement. Les versions logicielles mises à jour comprennent le logiciel de surveillance en ligne APC Easy UPS version V2.5-GA-01-23036 et le logiciel de surveillance en ligne Schneider Electric Easy UPS version V2.5-GS-01-23036.
Néanmoins, pour les utilisateurs de Windows 11 et Windows Server 2016, 2019 et 2022, les fournisseurs recommandent de mettre à jour les unités Easy UPS avec le logiciel PowerChute Serial Shutdown (PCSS) sur tous les serveurs protégés par ton Easy UPS On-Line (modèles SRV, SRVL) en tant qu'atténuation.
Fais-nous part de tes réflexions dans les commentaires.
