CISA e Claroty destacam vulnerabilidades graves em produtos populares de unidades de distribuição de energia

May 24, 2023

A Agência de Segurança Cibernética e de Infraestrutura (CISA) divulgou um alerta sobre várias vulnerabilidades encontradas nas unidades de distribuição de energia (PDU) iBoot da Dataprobe, algumas das quais permitiriam que hackers explorassem dispositivos remotamente.

A Dataprobe foi fundada em 1969 e fornece ferramentas de gerenciamento remoto de sites para redes críticas, como controle de tráfego aéreo e quiosques bitcoin. As PDUs são comumente encontradas em ambientes industriais, data centers e outros locais onde as fontes de alimentação devem estar próximas de equipamentos montados em rack.

Algumas PDUs podem ser acessadas e gerenciadas remotamente, o que as coloca “ao alcance da interrupção de serviços críticos, cortando a energia elétrica do dispositivo e, subsequentemente, de qualquer coisa conectada a ele”, de acordo com pesquisadores da empresa de segurança cibernética Claroty que descobriu os bugs.

O CEO da Dataprobe, David Weiss, disse ao The Record que a família de produtos iBoot-PDU está em serviço desde 2016 e disse que milhares de pessoas estão implantadas em vários setores para tarefas como sinalização digital, telecomunicações e gerenciamento remoto de sites.

A tecnologia iBoot-PDU também é fornecida aos fabricantes de equipamentos originais para ajudá-los na implantação do gerenciamento remoto de energia em seus produtos. Os iBoot-PDUs da Dataprobe fornecem aos usuários recursos de monitoramento em tempo real e acesso remoto, permitindo que os usuários controlem remotamente as tomadas usando uma interface web integrada ou através de protocolos como telnet e SNMP.

Mas a Claroty descobriu sete vulnerabilidades no produto e a CISA disse que dois dos bugs têm pontuações CVSS de 9,8 – CVE-2022-3183 e CVE-2022-3184. Os demais tiveram notas que variaram de 8,6 a 5,3.

Weiss disse que vários dos bugs foram corrigidos em uma atualização recente e outros foram resolvidos “com configuração adequada do cliente e desativação de recursos não necessários”.

“Não há nada no relatório da Claroty que contestemos. Agradecemos a análise de terceiros e levamos muito a sério a necessidade de melhorar continuamente e responder às mudanças nos ambientes de segurança”, disse ele. “Entramos em contato com a Claroty e continuamos a trabalhar com eles e outras organizações terceirizadas em melhorias de segurança.”

Ele acrescentou que alguns dos problemas são “inerentes aos componentes de código aberto usados ​​no produto”, enquanto outros estão “atualmente sob revisão e nossa equipe de engenharia está desenvolvendo uma resposta”.

Ele não explicou quais explicações se aplicavam a quais vulnerabilidades, mas de acordo com Claroty, todos os problemas descobertos foram abordados adequadamente pelo Dataprobe na versão 1.42.06162022.

Eles também observaram que a Dataprobe recomenda que os usuários desabilitem SNMP, telnet e HTTP se não estiverem em uso como uma mitigação contra algumas dessas vulnerabilidades.

O pesquisador de segurança da Claroty, Uri Katz, creditado pela CISA pela descoberta dos bugs, disse em uma entrevista que sua equipe foi capaz de expor todos os dispositivos iBoot-PDU, mesmo que estivessem atrás de um firewall, ao encontrar uma vulnerabilidade na plataforma de nuvem.

Uma das vulnerabilidades encontradas na interface da web permitiu a execução de código não autorizado.

“Isso é especialmente preocupante porque poderia ter permitido que os invasores ganhassem uma posição nas redes internas e explorassem os dispositivos iBoot-PDU remotamente, mesmo que não estivessem diretamente expostos na Internet”, disse Katz.

Katz explicou que a empresa de digitalização na Internet Censys publicou um relatório em 2021 que encontrou mais de 2.500 unidades usadas para gerenciar remotamente a distribuição de energia que podiam ser acessadas pela Internet.

O relatóriodisse que 31% desses dispositivos eram da Dataprobe e essa porcentagem não incluía dispositivos atrás de um firewall gerenciados por seu serviço de nuvem.

“Portanto, é provavelmente um número muito maior”, observou Katz. “Essas vulnerabilidades podem ser exploradas para desligar servidores montados em rack e equipamentos de rede alojados em datacenters alimentados por iBoot-PDUs.”

A Claroty também desenvolveu uma maneira de encontrar dispositivos iBoot-PDU conectados à nuvem, expandindo a superfície de ataque disponível para todos os dispositivos conectados.