CISA и Claroty выявили серьезные уязвимости в популярном продукте для блоков распределения питания
Агентство кибербезопасности и безопасности инфраструктуры (CISA) опубликовало предупреждение о нескольких уязвимостях, обнаруженных в блоках распределения питания iBoot (PDU) Dataprobe, некоторые из которых позволяют хакерам удаленно использовать устройства.
Dataprobe была основана в 1969 году и предоставляет инструменты удаленного управления объектами для критически важных сетей, таких как управление воздушным движением и биткойн-киоски. PDU обычно встречаются в промышленных средах, центрах обработки данных и других местах, где источники питания должны находиться рядом с оборудованием, смонтированным в стойке.
К некоторым PDU можно получить доступ и управлять ими удаленно, что позволяет им «на расстоянии вытянутой руки от нарушения критически важных служб путем отключения электропитания устройства, а затем и всего, что к нему подключено», по словам исследователей из фирмы по кибербезопасности Claroty, обнаруживших ошибки.
Генеральный директор Dataprobe Дэвид Вайс рассказал The Record, что семейство продуктов iBoot-PDU используется с 2016 года, и отметил, что тысячи продуктов используются в различных отраслях для решения таких задач, как цифровые вывески, телекоммуникации и удаленное управление объектами.
Технология iBoot-PDU также предоставляется производителям оригинального оборудования, чтобы помочь им внедрить удаленное управление питанием в своих продуктах. Dataprobe iBoot-PDU предоставляют пользователям возможности мониторинга в реальном времени и удаленный доступ, позволяя пользователям удаленно управлять розетками с помощью встроенного веб-интерфейса или по таким протоколам, как telnet и SNMP.
Но Claroty обнаружила в продукте семь уязвимостей, а CISA сообщила, что две из них имеют оценку CVSS 9,8 — CVE-2022-3183 и CVE-2022-3184. Остальные имели баллы от 8,6 до 5,3.
Вайс сказал, что некоторые ошибки были исправлены в недавнем обновлении, а другие были устранены «при правильной настройке клиента и отключении ненужных функций».
«В отчете Клароти нет ничего, что мы оспаривали бы. Мы ценим сторонний анализ и очень серьезно относимся к необходимости постоянного улучшения и реагирования на меняющуюся среду безопасности», — сказал он. «Мы сотрудничаем с Claroty и продолжаем работать с ними и другими сторонними организациями над улучшениями безопасности».
Он добавил, что некоторые проблемы «присущи компонентам с открытым исходным кодом, используемым в продукте», в то время как другие «в настоящее время находятся на рассмотрении, и наша команда инженеров разрабатывает ответ».
Он не пояснил, какие объяснения к каким уязвимостям применимы, но, по словам Клароти, все обнаруженные ими проблемы были адекватно решены Dataprobe в версии 1.42.06162022.
Они также отметили, что Dataprobe рекомендует пользователям отключать SNMP, telnet и HTTP, если они не используются, в качестве средства защиты от некоторых из этих уязвимостей.
Исследователь безопасности Claroty Ури Кац, которому CISA приписывает обнаружение ошибок, заявил в интервью, что его команда смогла выявить все устройства iBoot-PDU, даже если они находятся за брандмауэром, обнаружив уязвимость в облачной платформе.
Одна из уязвимостей, обнаруженных ими в веб-интерфейсе, позволила им выполнить на нем несанкционированный код.
«Это особенно тревожно, потому что это может позволить злоумышленникам закрепиться во внутренних сетях и удаленно использовать устройства iBoot-PDU, даже если они не доступны напрямую в Интернете», — сказал Кац.
Кац пояснил, что компания Censys, занимающаяся интернет-сканированием, в 2021 году опубликовала отчет, в котором обнаружилось, что более 2500 устройств, используемых для удаленного управления распределением электроэнергии, были доступны через Интернет.
Отчетзаявили, что 31% этих устройств были от Dataprobe, и в этот процент не вошли устройства за брандмауэром, управляемые их облачным сервисом.
«Так что, скорее всего, это гораздо большее число», — отметил Кац. «Эти уязвимости можно использовать для отключения стоечных серверов и сетевого оборудования, размещенного в центрах обработки данных, работающих на iBoot-PDU».
Claroty также разработала способ обнаружения подключенных к облаку устройств iBoot-PDU, расширяя доступную поверхность атаки на все подключенные устройства.