美国网络安全和基础设施安全局(CISA)发布了一项紧急公告,以解决影响Vertiv的Liebert RDU101和IS-UNITY产品的两个高严重性漏洞。这些缺陷如果未修补,可能允许威胁行为者远程执行代码或绕过身份验证保护,从而对操作技术环境构成严重风险。
根据CISA的咨询,这些漏洞(跟踪为CVE-2025-46412和CVE-2025-41426)的漏洞携带CVSS v3.1基础分数为9.8,将其归类为关键。
CVE-2025-46412 – 身份验证旁路
Vertiv 产品无法正确保护 Web 服务器功能,使攻击者能够使用替代路径或通道绕过身份验证。“受影响的Vertiv产品无法正确保护可能允许攻击者绕过身份验证的Web服务器功能,”CISA警告说。
这种类型的漏洞为攻击者在没有有效凭据的情况下访问管理接口和关键设置敞开了大门。
CVE-2025-41426 – 基于堆栈的缓冲溢出
此漏洞源于输入数据的处理不当,可能允许攻击者覆盖内存并执行任意代码。“攻击者可以利用此漏洞在设备上获取代码执行,”该咨询解释说。
基于堆栈的缓冲区溢出是众所周知的漏洞类,当成功利用时,通常会导致完整的系统妥协。
受影响设备:
-
1-Liebert RDU101 : 1.9.0.0 及更早版本
-
2-Liebert IS-UNITY : 版本 8.4.1.0 及更早版本
这些设备广泛部署在数据中心和基础设施中,对电力和环境监测至关重要,因此对管理正常运行敏感设备的设施的影响尤其明显。
这些漏洞由工业网络安全领先研究小组Claroty Team82的Vera Mens向CISA负责任地披露。
Vertiv已经发布了补丁来解决这些漏洞:
- 1-将 Liebert RDU101 更新至 v1.9.1.2_000001
- 2-更新 IS-UNITY 为 v8.4.3.1_00160
CISA强烈建议资产所有者和运营商应用更新并遵循其他硬化做法:
- 1-最大限度地减少所有控制系统设备和/或系统的网络暴露,确保它们无法从互联网访问。
- 2-使用安全的远程访问方法,如VPN(更新到最新版本),并将控制系统与业务网络隔离。
发表评论
您还未登录,请先登录。
登录