ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Salı günü, Dataprobe’un çoğunlukla endüstriyel ortamlarda ve veri merkezlerinde kullanılan iBoot-PDU güç dağıtım birimi ürünündeki yedi güvenlik açığına ilişkin bir endüstriyel kontrol sistemleri (ICS) tavsiye uyarısı yayınladı.
Ajans bir bildiride, “Bu güvenlik açıklarından başarılı bir şekilde yararlanılması, Dataprobe iBoot-PDU cihazında kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilir” dedi.
Endüstriyel siber güvenlik firması Claroty, zayıflıkların “cihaza doğrudan bir web bağlantısı veya bulut aracılığıyla” uzaktan tetiklenebileceğini söyledi.
iBoot-PDU, bir OT ortamında cihazlara ve diğer ekipmanlara giden güç kaynağını kontrol etmek için kullanıcılara bir web arayüzü aracılığıyla gerçek zamanlı izleme yetenekleri ve gelişmiş uyarı mekanizmaları sağlayan bir güç dağıtım birimidir (PDU).
Saldırı yüzeyi yönetim platformu Censys’in 2021 raporuna göre, Dataprobe cihazlarının maruz kalanların yaklaşık üçte birini oluşturduğu ve internette en az 2.600 PDU’ya erişilebildiği göz önüne alındığında, güvenlik açıkları yeni bir önem kazanıyor.
Claroty’nin PDU üretici yazılımına ilişkin analizi, ürünün komut enjeksiyonundan yol geçiş kusurlarına kadar değişen sorunlar nedeniyle sakat kaldığını ve müşterileri ciddi güvenlik risklerine maruz bıraktığını gösteriyor –
- CVE-2022-3183 (CVSS puanı: 9.8) – Kullanıcı girdilerinin temizlenmemesinden kaynaklanan bir komut ekleme güvenlik açığı
- CVE-2022-3184 (CVSS puanı: 9.8) – Kötü amaçlı kod eklemek için kötüye kullanılabilecek, kimliği doğrulanmamış bir PHP sayfasına erişim sağlayan bir yol geçiş güvenlik açığı
Clarory araştırmacısı Uri Katz, kusurların başarılı bir şekilde uzaktan sömürülmesinin “saldırganı, cihaza giden elektriği ve ardından ona bağlı olan her şeyi keserek kritik hizmetleri kesintiye uğratması için kol mesafesine koyuyor” dedi.
Ortaya çıkarılan diğer beş güvenlik açığı (CVE-2022-3185’ten CVE-2022-3189’a kadar), kötü bir aktör tarafından cihazın ana yönetim sayfasına buluttan erişmek ve hatta sunucuyu keyfi dahili veya harici sistemlere bağlanması için kandırmak için silahlandırılabilir ( aka SSRF), potansiyel olarak hassas bilgileri sızdırıyor.
Katz, “İnternet üzerinden veya bulut tabanlı bir yönetim platformu aracılığıyla uzaktan yönetilen zararsız bir güç dağıtım birimi bile, kararlı bir saldırganın ağı hedeflemesini veya bir PDU’ya bağlı cihazların gücünü keserek temel hizmetleri bozmanın bir yolunu sağlayabilir.” söz konusu.
Claroty ayrıca, geçerli bir çerez ve cihaz kimliğinin (önemsiz bir şekilde tahmin edilebilen sıralı bir sayısal değer) bir kombinasyonundan yararlanarak bulut bağlantılı iBoot PDU cihazlarını numaralandırmanın bir yolunu bulduğunu ve böylece mevcut saldırı yüzeyini tüm bağlı cihazlara genişlettiğini açıkladı. .
Dataprobe iBoot-PDU kullanıcılarının, bu güvenlik açıklarından bazılarına karşı bir hafifletme olarak, en son üretici yazılımı sürümüne (1.42.06162022) yükseltme yapmaları ve kullanımda değilse SNMP, Telnet ve HTTP’yi devre dışı bırakmaları önerilir.