Black Hat Asia 2023

พบช่องโหว่ลอบรันโค้ดบนอุปกรณ์ UPS จาก APC แนะนำรีบอัปเดต

มีการพบชุดช่องโหว่ร้ายแรง 3 รายการที่เรียกว่า ‘TLStorm’ โดยเกิดขึ้นบนอุปกรณ์ UPS ยอดนิยมจากค่าย APC จึงแนะนำให้เร่งอัปเดต

credit : armis

ช่องโหว่มีดังนี้

1.) CVE-2022-22805 และ CVE-2022-22806 เกิดขึ้นที่ส่วนการ implement โปรโตคอล TLS ในช่วงการสื่อสารระหว่างฟีเจอร์ SmartConnect กับ Cloud ซึ่งภายในมีการจัดการการเชื่อมต่อได้ไม่เหมาะสมทำให้คนร้ายที่ไม่ได้ผ่านการพิสูจน์ตัวตนสามารถโจมตีเพื่อการลอบรันโค้ดจากทางไกลได้

2.) CVE-2022-0715 เกิดขึ้นจากการที่เฟิร์มแวร์ไม่ได้มีการตรวจสอบ Signature จึงเป็นไปได้ที่คนร้ายจะสร้างเฟิร์มแวร์อันตรายของตนมาสวมแทน และนำไปสู่การโจมตีขั้นต่อไป ทั้งนี้ส่งผลกระทบกับ Smart-UPS เกือบทั้งหมดด้วย

ผู้เชี่ยวชาญของ Armis ได้สาธิตการโจมตีไว้ที่ 

ที่มา : https://www.bleepingcomputer.com/news/security/apc-ups-zero-day-bugs-can-remotely-burn-out-devices-disable-power/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

MFEC: พลิกโฉมการจัดการ Infrastructure ตอบโจทย์ Modernize Application ด้วย VMware Tanzu

แนวคิดการยกเครื่องแอปพลิเคชันเดิมสู่บริบทของการทำงานสมัยใหม่หรือที่เรียกว่า Modernization นั้นเริ่มกลายเป็นนโยบายหลักขององค์กร เนื่องจากหลายปีที่ผ่านมาการก้าวเข้ามาของเทคโนโลยี Container นั้นได้สนับสนุนให้แนวคิดนี้ทำได้สะดวกขึ้น อีกทั้งยังช่วยให้แอปพลิเคชันสามารถนำพลังจากเทคโนโลยีคลาวด์มาใช้ได้อย่างเกิดประโยชน์สูงสุด แต่ในความเป็นจริงแล้วผู้ดูแลระบบไอทีขององค์กรกลับกำลังเผชิญกับความท้าทายมากมาย ซึ่ง VMware Tanzu คือแพลตฟอร์มที่จะช่วยให้องค์กรสามารถบรรลุเป้าหมายของการทำ Modernization ประสบความสำเร็จได้ โดยที่ยังรักษาระบบการทำงานแบบเดิม …

บริหารจัดการ Multi-Cloud ครบวงจรอย่างมั่นใจ ด้วย VMware Aria จาก Fujitsu

แม้ Multi-Cloud จะไม่ใช่เรื่องใหม่สำหรับธุรกิจองค์กรแล้วในทุกวันนี้ แต่การบริหารจัดการ Multi-Cloud ให้มีประสิทธิภาพได้อย่างรอบด้านนั้นก็ยังคงเป็นความท้าทายของผู้บริหารฝ่าย IT ในหลายองค์กร เพราะ Cloud แต่ละระบบนั้นต่างก็มีความแตกต่างในเชิงรายละเอียด และยากต่อการรวบรวมข้อมูลการใช้งานมาวิเคราะห์แบบรวมศูนย์