CISA e Claroty evidenziano gravi vulnerabilità in un popolare prodotto di unità di distribuzione dell'energia

May 24, 2023

La Cybersecurity and Infrastructure Security Agency (CISA) ha rilasciato un avviso su diverse vulnerabilità rilevate nelle unità di distribuzione dell'alimentazione (PDU) iBoot di Dataprobe, alcune delle quali consentirebbero agli hacker di sfruttare i dispositivi da remoto.

Dataprobe è stata fondata nel 1969 e fornisce strumenti di gestione remota di siti per reti critiche come il controllo del traffico aereo e i chioschi bitcoin. Le PDU si trovano comunemente in ambienti industriali, data center e altrove in cui gli alimentatori devono trovarsi in prossimità di apparecchiature montate su rack.

È possibile accedere e gestire alcune PDU da remoto, mettendole "a un livello di interruzione dei servizi critici interrompendo l'alimentazione elettrica al dispositivo e, successivamente, a qualsiasi cosa ad esso collegata", secondo i ricercatori della società di sicurezza informatica Claroty che ha scoperto i bug.

David Weiss, CEO di Dataprobe, ha dichiarato a The Record che la famiglia di prodotti iBoot-PDU è in servizio dal 2016 e ha affermato che migliaia di prodotti sono distribuiti in tutti i settori per attività come la segnaletica digitale, le telecomunicazioni e la gestione di siti remoti.

La tecnologia iBoot-PDU viene fornita anche ai produttori di apparecchiature originali per assisterli nell'implementazione della gestione remota dell'alimentazione all'interno dei loro prodotti. Le PDU iBoot di Dataprobe forniscono agli utenti funzionalità di monitoraggio in tempo reale e accesso remoto, consentendo agli utenti di controllare in remoto le prese utilizzando un'interfaccia web integrata o tramite protocolli come telnet e SNMP.

Ma Claroty ha scoperto sette vulnerabilità nel prodotto e CISA ha affermato che due dei bug hanno punteggi CVSS di 9,8: CVE-2022-3183 e CVE-2022-3184. Il resto aveva punteggi compresi tra 8,6 e 5,3.

Weiss ha affermato che molti bug sono stati corretti in un recente aggiornamento e altri sono stati risolti "con un'adeguata configurazione da parte del cliente e la disattivazione delle funzionalità non richieste".

“Non c’è nulla nel rapporto Claroty che contestiamo. Apprezziamo l'analisi di terze parti e prendiamo molto sul serio la necessità di migliorare continuamente e rispondere ai cambiamenti degli ambienti di sicurezza", ha affermato. "Ci siamo impegnati con Claroty e continuiamo a collaborare con loro e con altre organizzazioni di terze parti per migliorare la sicurezza."

Ha aggiunto che alcuni dei problemi sono "inerenti ai componenti open source utilizzati nel prodotto" mentre altri sono "attualmente in fase di revisione e il nostro team di ingegneri sta sviluppando una risposta".

Non ha spiegato quali spiegazioni si applicassero a quali vulnerabilità, ma secondo Claroty, tutti i problemi scoperti sono stati adeguatamente risolti da Dataprobe nella versione 1.42.06162022.

Hanno inoltre notato che Dataprobe consiglia agli utenti di disabilitare SNMP, telnet e HTTP se non in uso come mitigazione contro alcune di queste vulnerabilità.

Il ricercatore di sicurezza di Claroty Uri Katz, accreditato dalla CISA per la scoperta dei bug, ha dichiarato in un'intervista che il suo team è stato in grado di esporre tutti i dispositivi iBoot-PDU, anche se sono dietro un firewall, trovando una vulnerabilità nella piattaforma cloud.

Una delle vulnerabilità trovate nell'interfaccia web ha permesso loro di eseguire codice non autorizzato su di essi.

"Ciò è particolarmente preoccupante perché avrebbe potuto consentire agli aggressori di prendere piede all'interno delle reti interne e sfruttare i dispositivi iBoot-PDU da remoto, anche se non erano direttamente esposti su Internet", ha affermato Katz.

Katz ha spiegato che la società di scansione Internet Censys ha pubblicato un rapporto nel 2021 che ha rilevato più di 2.500 unità utilizzate per gestire in remoto la distribuzione dell'energia che erano raggiungibili tramite Internet.

Il rapportoha affermato che il 31% di questi dispositivi proveniva da Dataprobe e che tale percentuale non includeva i dispositivi protetti da firewall gestiti dal loro servizio cloud.

"Quindi è probabilmente un numero molto più alto", ha osservato Katz. "Queste vulnerabilità possono essere sfruttate per spegnere i server montati su rack e le apparecchiature di rete ospitate nei data center alimentati da iBoot-PDU."

Claroty ha inoltre sviluppato un modo per individuare i dispositivi iBoot-PDU connessi al cloud, espandendo la superficie di attacco disponibile a tutti i dispositivi connessi.