CISA et Claroty mettent en évidence de graves vulnérabilités dans un produit populaire d'unité de distribution d'énergie

May 24, 2023

La Cybersecurity and Infrastructure Security Agency (CISA) a publié un avertissement concernant plusieurs vulnérabilités trouvées dans les unités de distribution d'énergie (PDU) iBoot de Dataprobe, dont certaines permettraient aux pirates d'exploiter des appareils à distance.

Dataprobe a été fondée en 1969 et fournit des outils de gestion de sites distants pour les réseaux critiques tels que le contrôle du trafic aérien et les kiosques Bitcoin. Les PDU se trouvent couramment dans les environnements industriels, les centres de données et partout où les alimentations doivent se trouver à proximité d'équipements montés en rack.

Certaines PDU sont accessibles et gérées à distance, ce qui les place « à portée de main de perturber les services critiques en coupant l'alimentation électrique de l'appareil et, par la suite, de tout ce qui y est branché », selon les chercheurs de la société de cybersécurité Claroty qui ont découvert les bugs.

Le PDG de Dataprobe, David Weiss, a déclaré à The Record que la famille de produits iBoot-PDU est en service depuis 2016 et a déclaré que des milliers de personnes sont déployées dans tous les secteurs pour des tâches telles que l'affichage numérique, les télécommunications et la gestion de sites distants.

La technologie iBoot-PDU est également fournie aux fabricants d'équipements d'origine pour les aider à déployer la gestion de l'alimentation à distance au sein de leurs produits. Les iBoot-PDU de Dataprobe offrent aux utilisateurs des capacités de surveillance en temps réel et un accès à distance, permettant aux utilisateurs de contrôler à distance les prises à l'aide d'une interface Web intégrée ou via des protocoles tels que telnet et SNMP.

Mais Claroty a découvert sept vulnérabilités dans le produit et CISA a déclaré que deux des bogues avaient des scores CVSS de 9,8 – CVE-2022-3183 et CVE-2022-3184. Les autres avaient des scores allant de 8,6 à 5,3.

Weiss a déclaré que plusieurs bogues ont été corrigés dans une mise à jour récente et que d'autres ont été résolus "avec une configuration client appropriée et la désactivation des fonctionnalités non requises".

« Il n’y a rien dans le rapport Claroty que nous contestions. Nous apprécions les analyses tierces et prenons très au sérieux la nécessité de nous améliorer continuellement et de répondre à l’évolution des environnements de sécurité », a-t-il déclaré. « Nous avons collaboré avec Claroty et continuons de travailler avec eux et d'autres organisations tierces pour améliorer la sécurité. »

Il a ajouté que certains des problèmes sont « inhérents aux composants open source utilisés dans le produit » tandis que d’autres sont « actuellement en cours d’examen et notre équipe d’ingénierie élabore une réponse ».

Il n'a pas expliqué quelles explications s'appliquaient à quelles vulnérabilités, mais selon Claroty, tous les problèmes découverts ont été correctement résolus par Dataprobe dans la version 1.42.06162022.

Ils ont également noté que Dataprobe recommande aux utilisateurs de désactiver SNMP, telnet et HTTP s'ils ne sont pas utilisés, afin d'atténuer certaines de ces vulnérabilités.

Le chercheur en sécurité de Claroty, Uri Katz, crédité par la CISA pour avoir découvert les bogues, a déclaré dans une interview que son équipe était en mesure d'exposer tous les appareils iBoot-PDU, même s'ils se trouvent derrière un pare-feu, en trouvant une vulnérabilité dans la plate-forme cloud.

L'une des vulnérabilités qu'ils ont trouvées dans l'interface Web leur a permis d'exécuter du code non autorisé sur celles-ci.

"Cela est particulièrement préoccupant car cela aurait pu permettre aux attaquants de prendre pied dans les réseaux internes et d'exploiter les appareils iBoot-PDU à distance, même s'ils ne sont pas directement exposés sur Internet", a déclaré Katz.

Katz a expliqué que la société d'analyse Internet Censys a publié un rapport en 2021 révélant que plus de 2 500 unités utilisées pour gérer à distance la distribution d'énergie étaient accessibles via Internet.

Le rapporta déclaré que 31 % de ces appareils provenaient de Dataprobe et que ce pourcentage n'incluait pas les appareils derrière un pare-feu gérés par leur service cloud.

"Il s'agit donc probablement d'un chiffre beaucoup plus élevé", a noté Katz. "Ces vulnérabilités peuvent être exploitées pour arrêter les serveurs montés en rack et les équipements réseau hébergés dans les centres de données alimentés par des iBoot-PDU."

Claroty a également développé un moyen de trouver les appareils iBoot-PDU connectés au cloud, étendant ainsi la surface d'attaque disponible à tous les appareils connectés.