Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) und das Energieministerium (Department of Energy, DoE) warnen gemeinsam vor Angriffen auf über das Internet angeschlossene unterbrechungsfreie Stromversorgungsanlagen (USV) durch voreingestellte Benutzernamen und Passwörter.
„Organisationen können Angriffe auf ihre USV-Geräte, die bei einem Ausfall der normalen Stromquellen eine Vielzahl von Anwendungen mit Notstrom versorgen, abwehren, indem sie die Verwaltungsschnittstellen aus dem Internet entfernen“, so die Behörden in einem am Dienstag veröffentlichten Bulletin.
USV-Geräte bieten nicht nur eine Notstromversorgung in unternehmenskritischen Umgebungen, sondern sind auch mit einer Internet-of-Things (IoT)-Funktion ausgestattet, die es den Administratoren ermöglicht, die Stromversorgung zu überwachen und routinemäßige Wartungsarbeiten durchzuführen. Aber wie so oft können solche Funktionen auch die Tür für bösartige Angriffe öffnen.
Um sich gegen solche Bedrohungen zu schützen, raten CISA und DoE den Unternehmen, alle USV-Anlagen zu erfassen und vom Internet zu trennen, sie in ein virtuelles privates Netzwerk (VPN) einzuschließen und eine mehrstufige Authentifizierung zu gewährleisten.
Die Behörden haben die betroffenen Unternehmen außerdem aufgefordert, die USV-Benutzernamen und Passwörter zu aktualisieren, um sicherzustellen, dass sie nicht mit den Werkseinstellungen übereinstimmen. „Dies stellt sicher, dass Bedrohungsakteure ihr Wissen über die Standardpasswörter nicht nutzen können, um auf Ihre USV zuzugreifen“, heißt es in der Mitteilung.
Die Warnungen kommen drei Wochen, nachdem Armis-Forscher mehrere schwerwiegende Sicherheitslücken in APC Smart-UPS-Geräten aufgedeckt haben, die von Angreifern als physische Waffe missbraucht werden könnten, um unbefugt auf sie zuzugreifen und sie zu kontrollieren.