Trellix araştırmacıları, veri merkezlerinde yaygın olarak kullanılan ve biri 9,8 CVSS puanıyla “kritik” olarak derecelendirilen iki sağlayıcının, CyberPower ve Dataprobe ürünlerindeki güvenlik açıkları konusunda uyarıda bulunuyor.
Şirket geçen hafta çalışmalarını Las Vegas’ta DEFCON’a sundu. Trellix, hem CyberPower hem de Dataprobe’un düzeltmeler yayınladığını söyledi.
Bir blog gönderisinde Trellix, güvenlik açıklarının bir veri merkezini kapatmak, bir veri merkezindeki müşteri makinelerine yayılabilecek kötü amaçlı yazılım yerleştirmek veya casusluk yapmak için kullanılabileceği konusunda uyarıyor.
En ciddi güvenlik açığı Dataprobe iBoot güç dağıtım birimindedir (PDU).
CVE-2023-3259, CVE veritabanını koruyan Mitre tarafından henüz yayınlanmayan, güvenilmeyen veri hatasının seri durumundan çıkarılmasıdır.
iBoot, CVSS puanı 7,2 olan bir işletim sistemi komut enjeksiyon güvenlik açığı olan CVE-2023-3260’a karşı da savunmasızdır; CVE-2023-3261, 7,5 olarak puanlanan bir arabellek taşması güvenlik açığı; CVE-2023-3262, sabit kodlu bir kimlik bilgisi hatası 6,7 olarak puanlandı; ve CVE-2023-3263, 7,5 dereceli bir kimlik doğrulama atlaması.
Trellix, PDU’nun 2016’dan beri hizmette olduğunu ve sonuç olarak binlerce kişinin “dijital tabela, telekomünikasyon, uzak site yönetimi ve çok daha fazlasını içeren görevler için” sahada olduğunu açıkladı.
CyberPower’ın PowerPanel Enterprise sistem izleme yazılımı dört güvenlik açığına tabidir: CVE-2023-3264, sabit kodlanmış kimlik bilgileri hatası 6.7 olarak derecelendirilmiştir; Kaçış veya kontrol sekanslarının uygun şekilde nötralize edilmediği CVE-2023-3265, 7,2 olarak derecelendirildi; CVE-2023-3266, 7,5 olarak derecelendirilen bir kimlik doğrulama atlaması; ve CVE-2023-3267, 7.5 olarak derecelendirilen uzaktan kod yürütme için yararlanılabilen bir işletim sistemi komut enjeksiyon hatası.
Trellix, komut enjeksiyon hatalarının “bağlı veri merkezi cihazları ve kurumsal sistemlerin daha geniş ağına bir arka kapı veya giriş noktası oluşturmak için kullanılabileceğini”, güvenlik açıklarının ise sistemlere “tam erişim” elde etmek için zincirlenebileceğini söyledi.