CISA 警告:連網 UPS 不斷電系統已成為企業安全新破口

作者 | 發布日期 2022 年 04 月 02 日 0:00 | 分類 網路 , 資訊安全 line share follow us in feedly line share
CISA 警告:連網 UPS 不斷電系統已成為企業安全新破口


駭客「尋隙」攻擊並非什麼新鮮事,但這也突顯了駭客會不時想方設法地挖掘各種可能的攻擊管道與目標。最重要的是,我們必須隨時掌握駭客最新的攻擊「喜好」與趨勢,才能精準地加以反制。從過去的駭客攻擊史可以知道,凡是能連網的電腦裝置、網通設備、儲存裝置或 IoT 裝置全都曾被駭客「臨幸」過,根據美國網路安全暨基礎設施安全局(CISA)週二發布的最新警告指出,駭客現在開始動起連網 UPS 不斷電系統的壞腦筋,所以企業今後也需要將 UPS 納入安全防護網的範疇內。

站在攻擊效益的角度,駭客攻擊關鍵伺服器、特定應用服務、個人端點裝置或各種儲存裝置是有道理的,因為駭客可藉此癱瘓企業重要服務、竊取重要資料,抑或建立龐大的殭屍網路。但如今駭客將攻擊目標鎖定在 UPS 身上的效益何在?畢竟 UPS 本身並沒有涉及任何重要的資料或關鍵服務,其主要任務只是在市電停擺時能立即接手供電,以確保系統或服務的不中斷。畢竟沒人可以精準預測市電何時停擺,就算駭客癱瘓UPS,只要還有市電,企業關鍵設施與服務仍然可以正常運作,這樣的攻擊又有什麼實質意義呢?

駭客可透過 UPS 發動恐攻,引發辦公室與資料中心火災

事實上,駭客癱瘓 UPS 的破壞性超出想像,輕者可以造成從 PC 到整個資料中心的癱瘓,重者還會引發公安危險,甚至達到恐攻事件的程度。因為駭客可藉由 UPS 的漏洞遠端燒毀 PC 及 UPS 本身,最可怕的是,他們甚至可以引起資料中心、企業辦公室與家庭火災。果真做到這個程度,那真的就和恐攻沒什麼兩樣了。

當前許多 UPS 產品之所以紛紛開始支援連網功能,全為了實現遠端管理、維護與監控,這使得不同等級 UPS 的可靠性大增,成為辦公室、資料中心、工業設施與醫療院所,甚至家庭的必備重要基礎設施之一。不可諱言的,這也讓這些場域身陷被駭客攻擊的風險之中。過去駭客早已透過其他各種管道攻擊過這些場域,如今駭客又有了全新 UPS 的攻擊切入口,無異進一步提升駭客攻擊的意願、頻率與成功率。

CISA 在其官網發布的一份聲明中指出,攻擊者通常會透過未變更的預設使用者名稱及密碼,來獲得不同連網 UPS 的存取權限。所以我們最好能先將預設密碼改成強固密碼或較長片語式的複雜密碼,至少可以獲得基本的安全保障。再者,我們可以透過將管理介面從網際網路上移除,便能有效減緩連網 UPS 被攻擊的可能性。

雖然理論上,只要 UPS 不連網,就不會有被攻擊的疑慮。但基於內部管理需要,這點根本不可能做到。所以 CISA 另外建議了若干基本防護之道,包括實施多因素身分認證、登錄逾時/鎖定政策,以及將所有 UPS 隱藏在 VPN 網路中等方式。除此之外,之前全球 UPS 大廠 APC 旗下產品便被發現存在名為 TLStorm 的安全漏洞,它是一個會讓 UPS 被網路犯罪者遠端操控的零時差漏洞,所以企業必須隨時追蹤原廠的最新安全公告,以便儘早完成更新修補作業,如此才能杜絕內部 UPS 淪為企業安全漏洞。

(首圖來源:APC