Les failles des produits de gestion de l'alimentation peuvent exposer les centres de données à des attaques dommageables et à l'espionnage
Les vulnérabilités des produits de gestion de l'alimentation CyberPower et Dataprobe pourraient être exploitées lors d'attaques de centres de données, notamment pour causer des dommages et à des fins d'espionnage.
Par
Tableau à feuilles mobiles
Les vulnérabilités des produits de gestion de l'énergie fabriqués par CyberPower et Dataprobe pourraient être exploitées dans des attaques visant les centres de données, permettant aux acteurs malveillants d'espionner les organisations ou de causer des dommages, selon la société de détection et de réponse aux menaces Trellix.
Les chercheurs de Trellix ont analysé le logiciel de gestion de l'alimentation du centre de données PowerPanel Enterprise de CyberPower et l'unité de distribution d'énergie (PDU) iBoot de Dataprobe. Ils ont découvert un total de neuf vulnérabilités, dont celles permettant à un attaquant d'obtenir un accès complet au système ciblé.
Des recherches antérieures ont montré que de nombreux PDU, y compris le produit iBoot, sont souvent exposés à Internet, ce qui permet de lancer des attaques à distance contre les organisations qui les utilisent.
Dans le produit CyberPower PowerPanel Enterprise, les chercheurs de Trellix ont découvert quatre vulnérabilités, notamment les informations d'identification codées en dur, le contournement de l'authentification et les problèmes d'injection de commandes du système d'exploitation.
Dans la PDU Dataprobe iBoot, ils ont identifié cinq vulnérabilités, notamment l'injection de commandes du système d'exploitation, le contournement de l'authentification, les informations d'identification codées en dur et les problèmes de déni de service (DoS).
Dans le cadre d’attaques réelles, les acteurs malveillants pourraient exploiter ces types de vulnérabilités pour couper l’alimentation des appareils connectés et provoquer des perturbations importantes.
« Un acteur malveillant pourrait provoquer des perturbations importantes pendant plusieurs jours d'affilée, simplement en actionnant un interrupteur dans des dizaines de centres de données compromis », a prévenu Trellix.
"En outre, la manipulation de la gestion de l'énergie peut être utilisée pour endommager les périphériques eux-mêmes, les rendant beaucoup moins efficaces, voire inutilisables", ajoute-t-il, notant que cela pourrait entraîner des pertes financières de plusieurs milliers, voire dizaines de milliers de dollars par minute. l'alimentation du centre de données est coupée.
En plus de causer directement des dommages ou des perturbations, les pirates informatiques pourraient installer des portes dérobées sur les équipements du centre de données et les utiliser pour compromettre d'autres systèmes et appareils.
« Certains centres de données hébergent des milliers de serveurs et se connectent à des centaines d'applications métiers diverses. Des attaquants malveillants pourraient lentement compromettre à la fois le centre de données et les réseaux d'entreprise qui y sont connectés », a déclaré Trellix.
Les systèmes de gestion de l’énergie des centres de données compromis pourraient également être exploités par des acteurs malveillants parrainés par l’État pour mener du cyberespionnage.
CyberPower et Dataprobe ont été informés et les deux fournisseurs ont publié des mises à jour pour corriger les vulnérabilités. En plus d'installer les correctifs, il est conseillé aux organisations de s'assurer que leurs systèmes ne sont pas exposés à Internet.
Trellix a déclaré n'avoir connaissance d'aucune attaque malveillante exploitant ces vulnérabilités.
En rapport: La vulnérabilité des produits d'énergie solaire exploités pourrait exposer les organisations énergétiques à des attaques
En rapport: Une entreprise de sécurité découvre plus de 130 000 systèmes de diagnostic photovoltaïques exposés sur Internet
Eduard Kovacs (@EduardKovacs) est rédacteur en chef chez SecurityWeek. Il a travaillé comme professeur d'informatique au lycée pendant deux ans avant de commencer une carrière dans le journalisme en tant que journaliste de sécurité pour Softpedia. Eduard est titulaire d'un baccalauréat en informatique industrielle et d'une maîtrise en techniques informatiques appliquées au génie électrique.
Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des chroniques perspicaces d'experts du secteur.
Rejoignez des experts en sécurité pour discuter du potentiel inexploité de ZTNA en matière de réduction des cyber-risques et de responsabilisation de l'entreprise.
Rejoignez Microsoft et Finite State pour un webinaire qui présentera une nouvelle stratégie de sécurisation de la chaîne d'approvisionnement logicielle.
À mesure que les règles de divulgation des cyberincidents de la SEC entreront en vigueur, les organisations seront obligées d’envisager sérieusement de donner une place aux responsables de la sécurité à la table. (Marc Solomon)