E’ di martedì l’avviso emesso dall’Agenzia per la sicurezza informatica e delle infrastrutture (CISA) congiuntamente al Dipartimento dell’Energia degli Stati Uniti.
Negli ultimi anni, i produttori hanno aggiunto caratteristiche sempre più smart ai loro dispositivi UPS, che collegati abitualmente alle reti per il monitoraggio dell’alimentazione, le manutenzioni di routine se non adeguatamente protetti possono rappresentare davvero un pericolo sia fisico che informatico. I dispositivi UPS possono essere impiegati per fornire alimentazione pulita in una vasta gamma di applicazioni in caso di emergenza blackout, garantendo la business continuity di server, edifici, centro dati, manutenzione industriale e servizi di monitoraggio.
Qualora degli attaccanti da remoto si impossessassero di tali dispositivi, questi potrebbero infatti essere utilizzati:
- come testa di ponte per violare la rete interna di un’azienda e rubare dati;
- per interrompere l’alimentazione di apparecchiature, servizi mission-critical, causando sia danni fisici e che ingenti perdite finanziarie in ambienti industriali e servizi aziendali esseziali.
Per tutti questi motivi, il CISA e il Dipartimento dell’Energia USA in particolare consapevoli delle minacce correlate alla possibilità di accesso abusivo ai dispositivi UPS esposti su internet senza adeguate protezioni, spesso solo attraverso nomi utente e password lasciati invariati rispetto a quelli di default, hanno fornito una serie di raccomandazioni.
Comunque di recente è noto come per una serie dispositivi SmartConnect e Smart-UPS di marca APC sia possibile sfruttare delle vulnerabilità zero-day critiche rilevate come TLStorm, che addirittura consentirebbero accessi agli UPS anche senza autenticazione e alcuna interazione da parte dell’utente.
Attività raccomandate
Tutti i responsabili della manutenzione e amministratori IT dovrebbero provvedere a enumerare gli UPS in uso, lasciandoli preferibilmente offline. Qualora le funzionalità smart integrate negli stessi dispostivi siano assolutamente necessarie per l’azienda, il bollettino consiglia di:
- modificare le credenziali predefinite con una combinazione “forte” di nome utente e password implementando, ove possibile, l’autenticazione a più fattori (MFA);
- garantire che UPS e sistemi stiano all’interno di una rete privata virtuale (VPN);
- adottare funzionalità di timeout/blocco per gli accessi login in modo che i dispositivi non siano continuamente esposti online.
Infine per affrontare nel migliore dei modi un incidente o sospetto incidente, il CISA esorta tutte le organizzazioni a implementare un piano per la risposta agli incidenti facendo riferimento al New Federal Government Cybersecurity Incident and Vulnerability Response Playbooks e alla guida relativa agli approcci tecnici per scoprire e rimediare ad attività dannose.
Entrambi questi due documenti sono stati emessi dal CERT-US.
