CISA e Claroty destacam vulnerabilidades graves em produtos populares de unidades de distribuição de energia
A Agência de Segurança Cibernética e de Infraestrutura (CISA) divulgou um alerta sobre várias vulnerabilidades encontradas nas unidades de distribuição de energia (PDU) iBoot da Dataprobe, algumas das quais permitiriam que hackers explorassem dispositivos remotamente.
A Dataprobe foi fundada em 1969 e fornece ferramentas de gerenciamento remoto de sites para redes críticas, como controle de tráfego aéreo e quiosques bitcoin. As PDUs são comumente encontradas em ambientes industriais, data centers e outros locais onde as fontes de alimentação devem estar próximas de equipamentos montados em rack.
Algumas PDUs podem ser acessadas e gerenciadas remotamente, o que as coloca “ao alcance da interrupção de serviços críticos, cortando a energia elétrica do dispositivo e, subsequentemente, de qualquer coisa conectada a ele”, de acordo com pesquisadores da empresa de segurança cibernética Claroty que descobriu os bugs.
O CEO da Dataprobe, David Weiss, disse ao The Record que a família de produtos iBoot-PDU está em serviço desde 2016 e disse que milhares de pessoas estão implantadas em vários setores para tarefas como sinalização digital, telecomunicações e gerenciamento remoto de sites.
A tecnologia iBoot-PDU também é fornecida aos fabricantes de equipamentos originais para ajudá-los na implantação do gerenciamento remoto de energia em seus produtos. Os iBoot-PDUs da Dataprobe fornecem aos usuários recursos de monitoramento em tempo real e acesso remoto, permitindo que os usuários controlem remotamente as tomadas usando uma interface web integrada ou através de protocolos como telnet e SNMP.
Mas a Claroty descobriu sete vulnerabilidades no produto e a CISA disse que dois dos bugs têm pontuações CVSS de 9,8 – CVE-2022-3183 e CVE-2022-3184. Os demais tiveram notas que variaram de 8,6 a 5,3.
Weiss disse que vários dos bugs foram corrigidos em uma atualização recente e outros foram resolvidos “com configuração adequada do cliente e desativação de recursos não necessários”.
“Não há nada no relatório da Claroty que contestemos. Agradecemos a análise de terceiros e levamos muito a sério a necessidade de melhorar continuamente e responder às mudanças nos ambientes de segurança”, disse ele. “Entramos em contato com a Claroty e continuamos a trabalhar com eles e outras organizações terceirizadas em melhorias de segurança.”
Ele acrescentou que alguns dos problemas são “inerentes aos componentes de código aberto usados no produto”, enquanto outros estão “atualmente sob revisão e nossa equipe de engenharia está desenvolvendo uma resposta”.
Ele não explicou quais explicações se aplicavam a quais vulnerabilidades, mas de acordo com Claroty, todos os problemas descobertos foram abordados adequadamente pelo Dataprobe na versão 1.42.06162022.
Eles também observaram que a Dataprobe recomenda que os usuários desabilitem SNMP, telnet e HTTP se não estiverem em uso como uma mitigação contra algumas dessas vulnerabilidades.
O pesquisador de segurança da Claroty, Uri Katz, creditado pela CISA pela descoberta dos bugs, disse em uma entrevista que sua equipe foi capaz de expor todos os dispositivos iBoot-PDU, mesmo que estivessem atrás de um firewall, ao encontrar uma vulnerabilidade na plataforma de nuvem.
Uma das vulnerabilidades encontradas na interface da web permitiu a execução de código não autorizado.
“Isso é especialmente preocupante porque poderia ter permitido que os invasores ganhassem uma posição nas redes internas e explorassem os dispositivos iBoot-PDU remotamente, mesmo que não estivessem diretamente expostos na Internet”, disse Katz.
Katz explicou que a empresa de digitalização na Internet Censys publicou um relatório em 2021 que encontrou mais de 2.500 unidades usadas para gerenciar remotamente a distribuição de energia que podiam ser acessadas pela Internet.
O relatóriodisse que 31% desses dispositivos eram da Dataprobe e essa porcentagem não incluía dispositivos atrás de um firewall gerenciados por seu serviço de nuvem.
“Portanto, é provavelmente um número muito maior”, observou Katz. “Essas vulnerabilidades podem ser exploradas para desligar servidores montados em rack e equipamentos de rede alojados em datacenters alimentados por iBoot-PDUs.”
A Claroty também desenvolveu uma maneira de encontrar dispositivos iBoot-PDU conectados à nuvem, expandindo a superfície de ataque disponível para todos os dispositivos conectados.