Višestruki sigurnosni propusti koji utiču na CyberPower PowerPanel Enterprise Data Center Infrastructure Management (DCIM) platformu i Dataprobe-ov iBoot Power Distribution Unit (PDU) mogu se potencijalno iskoristiti za dobijanje neautorizovanog pristupa ovim sistemima i nanošenje katastrofalne štete u ciljnim okruženjima.
Devet ranjivosti, od CVE-2023-3259 do CVE-2023-3267, nose ocjenu ozbiljnosti u rasponu od 6,7 do 9,8, omogućavajući hakerima da zatvore čitave centre podataka i ugroze implementaciju data centara kako bi ukrali podatke ili pokrenuli masivne napade.
“Haker bi mogao povezati ove ranjivosti zajedno kako bi dobio potpuni pristup ovim sistemima”, rekli su istraživači sigurnosti Trellixa Sam Quinn, Jesse Chick i Philippe Laulheret u izvještaju objavljenom za The Hacker News.
„Štaviše, oba proizvoda su osjetljiva na daljinsko ubrizgavanje koda koje bi se moglo iskoristiti za stvaranje backdoor-a ili ulazne tačke u širu mrežu povezanih uređaja centara podataka i poslovnih sistema.”
Nalazi su predstavljeni danas na sigurnosnoj konferenciji DEF CON. Nema dokaza da su ovi nedostaci zloupotrebljeni. Spisak nedostataka, koji su otklonjeni u verziji 2.6.9 PowerPanel Enterprise softvera i verziji 1.44.08042023 Dataprobe iBoot PDU firmvera, je ispod –
Dataprobe iBoot PDU –
- CVE-2023-3259 (CVSS rezultat: 9,8) – Deserializacija nepouzdanih podataka, što dovodi do zaobilaženja autentifikacije
- CVE-2023-3260 (CVSS rezultat: 7,2) – Ubacivanje OS komande, što dovodi do autentificiranog udaljenog izvršavanja koda
- CVE-2023-3261 (CVSS rezultat: 7,5) – Prelivanje bafera, što dovodi do uskraćivanja usluge (DoS)
- CVE-2023-3262 (CVSS rezultat: 6,7) – Upotreba tvrdo kodiranih akreditiva
- CVE-2023-3263 (CVSS rezultat: 7,5) – Zaobilaženje autentifikacije alternativnim imenom
CyberPower PowerPanel Enterprise –
- CVE-2023-3264 (CVSS rezultat: 6,7) – Upotreba tvrdo kodiranih akreditiva
- CVE-2023-3265 (CVSS rezultat: 7,2) – Nepravilna neutralizacija izlaznih, meta ili kontrolnih sekvenci, što dovodi do zaobilaženja autentifikacije
- CVE-2023-3266 (CVSS rezultat: 7,5) – Nepravilno implementirana sigurnosna provjera za standard, što dovodi do zaobilaženja autentifikacije
- CVE-2023-3267 (CVSS rezultat: 7,5) – Ubacivanje OS komande, što dovodi do autentificiranog udaljenog izvršavanja koda
„Rešenja za preduzeća koja se često nalaze u centrima podataka obično hostuju svoj softver ili firmver javnosti za preuzimanje“, rekao je Quinn za The Hacker News. “Ova dostupnost omogućava istraživačima poput nas, kao i potencijalnim hakerima da vrše reviziju ovih sistema u okruženju sa vrlo niskim ulozima.”
Uspješno iskorištavanje gore navedenih nedostataka moglo bi utjecati na implementaciju kritične infrastrukture koja se oslanja na data centre, što bi rezultiralo gašenjem s “okretom prekidača”, provođenjem široko rasprostranjenog ransomware-a, DDoS-a ili wiper napada ili obavljanjem sajber špijunaže.
“Nekoliko ranjivosti nisu posebno sofisticirane i ne zahtijevaju hakerske alate da bi ih iskoristili i dobili početni pristup platformama,” rekao je Quinn. “Za iskusnu grupu hakera, bilo bi im prilično lako povezati ove ranjivosti zajedno kako bi dobili potpuni pristup ovim sistemima.”
“Kako sve više i više kompanija nastoji proširiti svoje lokalne implementacije ili se okrenuti pristupačnijoj i skalabilnijoj infrastrukturi clouda od Amazona, Microsofta, Googlea i drugih, to je stvorilo rastući vektor napada za aktere prijetnji.”
“Ranjivost na jednoj platformi ili uređaju za upravljanje centrom podataka može brzo dovesti do potpunog kompromitovanja interne mreže i dati hakerima uporište za daljnji napad na bilo koju povezanu infrastrukturu u oblaku”, rekli su istraživači.
Trellix je dalje rekao da uticaj eksploatacije ranjivosti u prirodi obično zavisi od toga gde se uređaji nalaze unutar mreže i infrastrukture organizacije.
“Ako su ranjivi uređaji dostupni sa šireg interneta, dobijanje visoko privilegovanog i destruktivnog pristupa je prilično trivijalno”, objasnio je Quinn. “Ovo tu kompaniju stavlja u povećan rizik od udaljenog klibernetičkog napada.”
“Ali ako je uređaj dostupan samo unutar sigurnog intraneta organizacije, to značajno smanjuje izglede za veliki sigurnosni incident. Ovo nije srebrni metak, ali ograničavajući broj pojedinaca koji mogu komunicirati s uređajima sa stanovišta mrežnog dizajna značajno smanjuje vjerovatnoću napada.”
Centri podataka, napomenula je kompanija za kibernetičku sigurnost, i dalje su sočna meta za hakere zbog brojnih vektora napada, potencijala da se proširi na mrežu nakon što se postigne uporište i vrijednosti kompromitovanih uređaja/podataka, zbog čega je imperativ organizacije da održavaju uređaje i softverske platforme sigurnim i ažurnim.
„Dok smo razgovarali o uticaju ovih ranjivosti sa stručnjacima iz industrije na Black Hat-u i DEFCON-u, još jedan iznenađujući zaključak koji smo imali je da nam je rečeno da je nesretna realnost da mnogi hardverski uređaji koji se nalaze u centrima podataka često nikada nisu ažurirani u strahu od zastoja”, rekao je Quinn.
“Ovaj način razmišljanja je ilustrovan u uređajima za upravljanje napajanjem (kao što je PDU) jer je često potrebno ponovno pokretanje da bi se ažuriranje uspješno završilo, što znači da će svi uređaji povezani s tim uređajem trenutno izgubiti struju.”
“Ovaj trenutni gubitak energije često je odlučujući faktor u debati o prednostima i nedostacima dok se razmatra ažuriranje za određeni uređaj. Uz ovo rečeno, i dalje toplo preporučujemo svakoj organizaciji da ažurira svoje proizvode najnovijim sigurnosnim zakrpama kad god postanu dostupne. “