PT-2018-36: Разглашение информации в источниках бесперебойного питания APC Уязвимые устройства MGE Galaxy 3000 MGE Galaxy 4000 MGE Galaxy 5000 MGE Galaxy 6000 MGE Galaxy 9000 MGE EPS 6000 MGE EPS 7000 MGE EPS 8000 MGE Comet UPS MGE Galaxy PW STS (MGE Upsilon) Ссылка: https://www.schneider-electric.com/ Рейтинг опасности Уровень опасности: Средний Воздействие: Разглашение информации Вектор атаки: Удаленный CVSS v3: Base Score: 5.3 Vector: (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) CVE: CVE-2018-7244 Описание уязвимости Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Разглашение информации" в источниках бесперебойного питания APC. Уязвимость в MGE SNMP/Web Card 66074 в MGE UPS и MGE STS производства Schneider Electric, связанная с встроенным веб-сервером (порт 80/443/TCP), позволяет злоумышленникам, действующим удаленно и имеющим доступ к сети, получить доступ к важной информации об устройстве. Решение Используйте рекомендации производителя: https://www.schneider-electric.com/en/download/document/SEVD-2018-074-01/ Статус уведомления 20.02.2016 - Производителю отправлены детали уязвимостей 15.03.2018 - Производитель выпустил исправление 18.12.2018 - Публикация уязвимости Благодарности Уязвимость обнаружили Илья Карпов и Евгений Дружинин (Исследовательский центр Positive Research компании Positive Technologies) Ссылки http://www.securitylab.ru/lab/PT-2018-36 https://www.ptsecurity.ru/ https://www.securitylab.ru/lab/ О Positive Technologies Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телеком-операторов. Деятельность компании лицензирована Минобороны России, ФСБ России и ФСТЭК России, продукция сертифицирована Минобороны России и ФСТЭК России.