Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Enerji Bakanlığı ile ortak bir tavsiyede bulundu ve bugün ABD kuruluşlarını İnternet bağlantılı UPS cihazlarını devam eden saldırılara karşı korumaları konusunda uyardı.
UPS cihazları, veri merkezleri, endüstriyel tesisler, sunucu odaları ve hastaneler dahil olmak üzere kritik görev ortamlarında acil durum güç yedekleme çözümleri olarak düzenli olarak kullanılmaktadır.
Ayrıca, yöneticilerin güç izleme ve rutin bakım gibi çeşitli uzaktan görevleri gerçekleştirmelerine izin vermek için İnternet’e bağlılar ve bu da onları saldırılara maruz bırakıyor.
Federal kurumlar, “Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Enerji Bakanlığı, tehdit aktörlerinin çeşitli internet bağlantılı kesintisiz güç kaynağı (UPS) cihazlarına, genellikle değişmemiş varsayılan kullanıcı adları ve şifreler yoluyla erişim elde ettiğinin farkındadır.” dedim.
“Kuruluşlar, normal güç kaynakları kaybolduğunda çeşitli uygulamalarda acil durum gücü sağlayan UPS cihazlarına yönelik saldırıları internetten yönetim arayüzlerini kaldırarak azaltabilir.”
Saldırılar nasıl engellenir
Önerilen hafifletme önlemleri, kuruluşların ağlarındaki tüm UPS’leri ve diğer acil durum güç sistemlerini bulmayı ve bunlara İnternet üzerinden erişilememelerini sağlamayı içerir.
Yönetim arayüzlerini internete bağlamaktan kaçınılamazsa, yöneticilere tavsiye edilir [PDF] cihazları sanal bir özel ağın (VPN) arkasına koymak, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek ve kaba zorlama girişimlerini engellemek için güçlü parolalar veya parolalar.
Öneriler ayrıca, UPS’lerin, saldırganların bunları kullanma ve hedeflenen cihazları ele geçirme girişimleri için fabrika varsayılan kimlik bilgilerini kullanmadığının kontrol edilmesini de içerir.
ABD kuruluşlarına ayrıca, UPS’lere ve benzer sistemlere karşı devam eden bu saldırıları engellemek için oturum açma zaman aşımı/kilitleme politikaları uygulaması istenmektedir.
Tehdit aktörleri, varsayılan kimlik bilgilerinin yanı sıra, kesintisiz güç kaynağı (UPS) cihazlarının uzaktan ele geçirilmesini sağlamak ve bunları yakmalarına veya uzaktan gücü devre dışı bırakmalarına izin vermek için kritik güvenlik açıklarını da kullanabilir.
Örneğin, bir dizi TLStorm olarak izlenen kritik sıfır gün güvenlik açıkları Kimliği doğrulanmamış saldırganlar tarafından kullanıcı etkileşimi olmaksızın uzaktan yararlanılabilen, Schneider Electric’in bir yan kuruluşu olan APC’nin SmartConnect ve Smart-UPS cihazlarını etkilediği bilinmektedir.