La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el Departamento de Energía (DoE) advierten conjuntamente sobre ataques contra dispositivos de suministro de energía ininterrumpida (UPS) conectados a Internet por medio de nombres de usuario y contraseñas predeterminados.
«Las organizaciones pueden mitigar los ataques contra sus dispositivos UPS, que brindan energía de emergencia en una variedad de aplicaciones cuando se pierden las fuentes de energía normales, eliminando las interfaces de administración de Internet», dijeron las agencias en un boletín publicado el martes.
Los dispositivos UPS, además de ofrecer respaldos de energía en entornos de misión crítica, también están equipados con una capacidad de Internet de las cosas (IoT), lo que permite a los administradores llevar a cabo el monitoreo de energía y el mantenimiento de rutina. Pero como suele ser el caso, estas características también pueden abrir la puerta a ataques maliciosos.
Para mitigar tales amenazas, CISA y DoE están aconsejando a las organizaciones que enumeren y desconecten todos los sistemas UPS de Internet y los protejan detrás de una red privada virtual (VPN), así como también apliquen la autenticación multifactor.
Las agencias también han instado a las entidades interesadas a actualizar los nombres de usuario y contraseñas de UPS para asegurarse de que no coincidan con la configuración predeterminada de fábrica. «Esto garantiza que, en el futuro, los actores de amenazas no puedan usar su conocimiento de las contraseñas predeterminadas para acceder a su UPS», decía el aviso.
Las advertencias llegan tres semanas después de que los investigadores de Armis revelaran múltiples fallas de seguridad de alto impacto en los dispositivos Smart-UPS de APC que podrían ser abusadas por adversarios remotos como un arma física para acceder y controlarlos de manera no autorizada.