CyberPower’ın PowerPanel Kurumsal Veri Merkezi Altyapı Yönetimi (DCIM) platformunu ve Dataprobe’un iBoot Güç Dağıtım Birimi’ni (PDU) etkileyen çoklu güvenlik açıkları, bu sistemlere kimliği doğrulanmamış erişim elde etmek ve hedef ortamlarda yıkıcı hasara neden olmak için potansiyel olarak kullanılabilir.
CVE-2023-3259’dan CVE-2023-3267’ye kadar olan dokuz güvenlik açığı, 6,7 ile 9,8 arasında değişen önem dereceleri taşır ve tehdit aktörlerinin tüm veri merkezlerini kapatmasına ve veri merkezi dağıtımlarını tehlikeye atarak verileri çalmasına veya büyük bir ölçekte büyük saldırılar başlatmasına olanak tanır. ölçek.
The Hacker News ile paylaşılan bir raporda, Trellix güvenlik araştırmacıları Sam Quinn, Jesse Chick ve Philippe Laulheret, “Bir saldırgan, bu sistemlere tam erişim elde etmek için bu güvenlik açıklarını zincirleyebilir.”
“Ayrıca, her iki ürün de bağlı veri merkezi cihazları ve kurumsal sistemlerden oluşan daha geniş bir ağa bir arka kapı veya giriş noktası oluşturmak için kullanılabilecek uzaktan kod enjeksiyonuna karşı savunmasızdır.”
Bulgular bugün DEFCON güvenlik konferansında sunuldu. Bu eksikliklerin vahşi doğada kötüye kullanıldığına dair hiçbir kanıt yok. PowerPanel Enterprise yazılımının 2.6.9 sürümünde ve Dataprobe iBoot PDU üretici yazılımının 1.44.08042023 sürümünde giderilen kusurların listesi aşağıdadır –
Dataprobe iBoot PDU –
- CVE-2023-3259 (CVSS puanı: 9.8) – Güvenilmeyen verilerin serisini kaldırma, kimlik doğrulama atlamasına yol açar
- CVE-2023-3260 (CVSS puanı: 7.2) – Kimliği doğrulanmış uzaktan kod yürütülmesine yol açan işletim sistemi komut enjeksiyonu
- CVE-2023-3261 (CVSS puanı: 7,5) – Arabellek taşması, hizmet reddine (DoS) yol açar
- CVE-2023-3262 (CVSS puanı: 6.7) – Sabit kodlanmış kimlik bilgilerinin kullanımı
- CVE-2023-3263 (CVSS puanı: 7.5) – Diğer adla kimlik doğrulama atlaması
CyberPower PowerPanel Kurumsal –
- CVE-2023-3264 (CVSS puanı: 6.7) – Sabit kodlanmış kimlik bilgilerinin kullanımı
- CVE-2023-3265 (CVSS puanı: 7.2) – Kaçış, meta veya kontrol dizilerinin uygunsuz nötralizasyonu, kimlik doğrulama baypasına yol açar
- CVE-2023-3266 (CVSS puanı: 7.5) – Standart için Yanlış Uygulanan Güvenlik Kontrolü, kimlik doğrulama atlamasına yol açıyor
- CVE-2023-3267 (CVSS puanı: 7.5) – Kimliği doğrulanmış uzaktan kod yürütmeye yol açan işletim sistemi komut enjeksiyonu
Yukarıda belirtilen kusurların başarılı bir şekilde kullanılması, veri merkezlerine dayanan kritik altyapı dağıtımlarını etkileyerek “bir düğmeyi çevirerek” kapanmalara, yaygın fidye yazılımı, DDoS veya silme saldırıları gerçekleştirmeye veya siber casusluk yürütmeye neden olabilir.
Araştırmacılar, “Tek bir veri merkezi yönetim platformu veya cihazındaki bir güvenlik açığı, hızlı bir şekilde dahili ağın tamamen ele geçirilmesine yol açabilir ve tehdit aktörlerine bağlı herhangi bir bulut altyapısına daha fazla saldırmak için bir dayanak noktası sağlayabilir” dedi.