Les failles de l'unité de distribution d'énergie iBoot permettent aux pirates informatiques d'arrêter des appareils à distance
Des vulnérabilités critiques découvertes par les chercheurs dans l'unité de distribution d'énergie (PDU) iBoot de Dataprobe peuvent permettre à des acteurs malveillants de pirater le produit à distance et d'arrêter les appareils connectés, provoquant potentiellement des perturbations au sein de l'organisation ciblée.
Par
Tableau à feuilles mobiles
Des vulnérabilités critiques découvertes par les chercheurs dans l'unité de distribution d'énergie (PDU) iBoot de Dataprobe peuvent permettre à des acteurs malveillants de pirater le produit à distance et d'arrêter les appareils connectés, provoquant potentiellement des perturbations au sein de l'organisation ciblée.
Les vulnérabilités affectant le produit iBoot-PDU ont été identifiées par des chercheurs de la société de cybersécurité industrielle Claroty, qui ont découvert un total de sept problèmes, dont ceux permettant à un attaquant distant non authentifié d'exécuter du code arbitraire.
La PDU concernée fournit une interface Web et une plate-forme cloud pour configurer le produit et contrôler chaque prise individuelle pour la gestion de l'alimentation à distance.
Un rapport de 2021 de Censys a montré qu'il y avait plus de 2 000 PDU directement exposées à Internet et près d'un tiers d'entre elles étaient des PDU iBoot.
En plus de montrer que les pirates pouvaient exploiter ces appareils exposés à Internet, les chercheurs de Claroty ont montré que les attaquants pouvaient également atteindre des appareils qui ne sont pas directement exposés au Web, via la plateforme cloud qui donne accès à la page de gestion de l'appareil.
L'utilisation de cette plate-forme cloud permet aux clients d'accéder à leurs appareils depuis le Web sans les exposer directement à Internet. Cela permet aux utilisateurs de conserver les appareils derrière un pare-feu ou un routeur de traduction d'adresses réseau (NAT).
Cependant, les vulnérabilités découvertes par Claroty peuvent être exploitées pour contourner le NAT et les pare-feu et réaliser l'exécution de code arbitraire, permettant à l'attaquant de couper l'alimentation de tous les appareils contrôlés par la PDU. Un attaquant peut également obtenir les informations d’identification nécessaires pour se déplacer latéralement au sein du réseau compromis.
Les sept vulnérabilités ont reçu les identifiants CVE CVE-2022-3183 à CVE-2022-3189. Les problèmes incluent l'injection de commandes du système d'exploitation, la traversée de chemin, l'exposition d'informations sensibles, un contrôle d'accès inapproprié, une autorisation inappropriée et incorrecte et la falsification de requêtes côté serveur (SSRF).
Claroty a publié un article de blog décrivant les vulnérabilités les plus graves.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a également publié un avis pour informer les organisations de ces vulnérabilités. L'agence a déclaré que le produit concerné a été déployé dans plusieurs pays et secteurs, y compris dans le secteur manufacturier critique.
Le fournisseur a corrigé la vulnérabilité avec la sortie de la version 1.42.06162022 du micrologiciel. Il a été conseillé aux utilisateurs de mettre à jour le micrologiciel et Dataprobe recommande également de désactiver le protocole SNMP (Simple Network Management Protocol) s'il n'est pas utilisé.
Connexes : Graves vulnérabilités découvertes dans les compteurs d'énergie Schneider Electric
Connexes : Plusieurs vulnérabilités découvertes dans le logiciel GE Power Meter
Related: Des vulnérabilités dans les produits Eaton peuvent permettre aux pirates informatiques de perturber l'alimentation électrique
Eduard Kovacs (@EduardKovacs) est rédacteur en chef chez SecurityWeek. Il a travaillé comme professeur d'informatique au lycée pendant deux ans avant de commencer une carrière dans le journalisme en tant que journaliste de sécurité pour Softpedia. Eduard est titulaire d'un baccalauréat en informatique industrielle et d'une maîtrise en techniques informatiques appliquées au génie électrique.
Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des chroniques perspicaces d'experts du secteur.
Rejoignez des experts en sécurité pour discuter du potentiel inexploité de ZTNA en matière de réduction des cyber-risques et de responsabilisation de l'entreprise.
Rejoignez Microsoft et Finite State pour un webinaire qui présentera une nouvelle stratégie de sécurisation de la chaîne d'approvisionnement logicielle.