APC UPS 日本モデルのTLStorm脆弱性の影響について

2022年3月に公開されたCVE-2022-0715、CVE-2022-22805、CVE-2022-22806について、
日本で販売している製品の影響についてご案内します。

1. 対象製品

2. 影響の受ける脆弱性
報告されている3つのCVEのうち、CVE-2022-22805、CVE-2022-22806については影響ありません。

A) CVE-2022-22805およびCVE-2022-22806
・  CVE-2022-22806 – TLS authentication bypass: A state confusion in the TLS handshake leads to authentication bypass, leading to remote code execution (RCE) using a network firmware upgrade.
・  CVE-2022-22805 – TLS buffer overflow: A memory corruption bug in packet reassembly (RCE).

日本向けモデルのUPSは、CVE-2022-22805およびCVE-2022-22806の影響は受けません。
本脆弱性に影響のある機能(SmartConnectポートを利用したAPCクラウド) は、提供されていないため、
日本向けモデルにおいてインターネット経由での影響はありません。

​​​​​B) CVE-2022-0715
・  CVE-2022-0715 – Unsigned firmware upgrade that can be updated over the network (RCE).

悪意のあるファームウェアによりUPSの内容が書き換えられてしまう恐れがあります。
日本向けモデルは、CVE-2022-22805およびCVE-2022-22806の影響を受けないため、
インターネット経由での書き換えは出来ませんが、他に2つの方法で書き換えが可能です。

① ネットワークマネージメントカード経由でのアクセス：
これはローカルネットワークとなり、プライベートネットワークへの侵入がない限りアクセス、
書き換えは出来ないことから本脆弱性のみのリスクは非常に低いです。
デフォルトパスワードの変更や複雑化、ローカルプライベートネットワークのセキュリティについて確認と見直しをお願いいたします。

② USB/シリアル接続によるアクセス
この方法を利用した書き換えは、UPS背面のUSBまたはシリアルポートに直接アクセスする必要が有るため、
本脆弱性のみのリスクは非常に低いです。UPSの運用においてラックに鍵をかける、
容易に製品を操作、アクセスできない部屋で管理するなど、管理者以外が操作できないよう対策を行ってください。

[公開日: 2022年3月11日]

公開先:APC 日本