L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié mardi un avertissement sur les systèmes de contrôle industriel (ICS) concernant sept failles de sécurité dans le produit d’unité de distribution d’alimentation iBoot-PDU de Dataprobe, principalement utilisé dans les environnements industriels et les centres de données.

« L’exploitation réussie de ces vulnérabilités pourrait conduire à l’exécution de code à distance non authentifié sur l’appareil Dataprobe iBoot-PDU », a déclaré l’agence. a dit dans un avis.

C’est à la société de cybersécurité industrielle Claroty, qui a dit les faiblesses pourraient être déclenchées à distance « soit via une connexion Web directe à l’appareil, soit via le cloud ».

iBoot-PDU est une unité de distribution d’alimentation (PDU) qui fournit aux utilisateurs des capacités de surveillance en temps réel et des mécanismes d’alerte sophistiqués via une interface Web afin de contrôler l’alimentation électrique des appareils et autres équipements dans un environnement OT.

Les vulnérabilités prennent une nouvelle importance si l’on tient compte du fait que pas moins de 2 600 PDU sont accessibles sur Internet, les appareils Dataprobe représentant près d’un tiers de ceux exposés, selon un rapport 2021 de la plate-forme de gestion de surface d’attaque Censys.

L’analyse de Claroty du micrologiciel de la PDU montre que le produit est paralysé par des problèmes allant de l’injection de commande aux défauts de traversée de chemin, exposant les clients à de graves risques de sécurité –

• CVE-2022-3183 (score CVSS : 9,8) – Une vulnérabilité d’injection de commande résultant d’un manque de nettoyage des entrées utilisateur
• CVE-2022-3184 (score CVSS : 9,8) – Une vulnérabilité de traversée de chemin qui permet d’accéder à une page PHP non authentifiée, qui pourrait être utilisée à mauvais escient pour insérer du code malveillant

L’exploitation à distance réussie des failles « met un attaquant à portée de main pour perturber les services critiques en coupant l’alimentation électrique de l’appareil et par la suite, tout ce qui y est branché », a déclaré le chercheur de Clarory, Uri Katz.

Les cinq autres vulnérabilités découvertes (de CVE-2022-3185 à CVE-2022-3189) pourraient être militarisées par un acteur malveillant pour accéder à la page de gestion principale de l’appareil depuis le cloud et même tromper le serveur pour qu’il se connecte à des systèmes internes ou externes arbitraires ( alias SSRF), potentiellement fuite d’informations sensibles.

« Même une unité de distribution d’alimentation inoffensive gérée à distance sur Internet ou via une plate-forme de gestion basée sur le cloud peut fournir à un attaquant déterminé pour cibler le réseau, ou un moyen de perturber les services essentiels en coupant l’alimentation des appareils connectés à un PDU », a déclaré Katz. a dit.

Claroty a en outre révélé qu’il avait trouvé un moyen d’énumérer les appareils iBoot PDU connectés au cloud en exploitant une combinaison d’un cookie valide et de l’ID de l’appareil (une valeur numérique séquentielle qui peut être devinée de manière triviale), élargissant ainsi la surface d’attaque disponible à tous les appareils connectés. .

Il est recommandé aux utilisateurs de Dataprobe iBoot-PDU de passer à la dernière version du micrologiciel (1.42.06162022) ainsi que désactiver SNMP, Telnet et HTTP, s’ils ne sont pas utilisés, pour atténuer certaines de ces vulnérabilités.