Des failles dans les unités de distribution d'électricité iBoot de Dataprobe selon Team82 de Claroty

Par:
fredericmazue

mer, 21/09/2022 - 15:04

Les chercheurs en sécurité de Team82, le département de recherche du spécialiste de la sécurité des systèmes cyber-physiques (CPS) Claroty, ont révélé plusieurs vulnérabilités dans les PDU iBoot, les unités de distribution d'alimentation intelligentes de Dataprobe.

Les PDU peuvent être gérés à partir de n'importe quel endroit via une interface web ou une plateforme basée dans le Cloud. En exploitant ces vulnérabilités, les attaquants peuvent être en mesure d'exécuter du code à distance et de couper l'alimentation de tous les appareils connectés.

Dataprobe a corrigé ces vulnérabilités dans une nouvelle mise à jour de la version. Il est vivement conseillé aux utilisateurs de passer à la version 1.42.06162022. Pour combler certaines des failles de sécurité, Dataprobe recommande également de désactiver les protocoles SNMP, Telnet et HTTP lorsqu'ils ne sont pas utilisés.

Contexte

Les unités de distribution de l'alimentation (PDU) sont des dispositifs courants dans les environnements industriels, les datacenters et d'autres domaines où les alimentations doivent être disponibles à proximité des équipements montés en rack. De plus en plus de PDU peuvent être contrôlées et gérées à distance. En attaquant une vulnérabilité exploitable à distance dans un composant PDU, par exemple dans l'interface web ou la plateforme de gestion basée dans le Cloud, un attaquant peut interrompre des services essentiels en coupant l'alimentation de l'appareil et, par la suite, de tous les appareils qui y sont connectés. Un rapport Censys datant de 2021 montre que plus de 2600 PDU sont connectés à Internet. Un peu moins d'un tiers (31%) d'entre eux sont des appareils Dataprobe.

Team82 a pu découvrir sept failles de sécurité dans iBoot-PDU.

Les vulnérabilités découvertes chez Dataprobe – et corrigées par l’entreprise depuis - ont permis à Team82 d'exposer tous les appareils PDU iBoot contrôlés par l'interface web ou par le Cloud et de les attaquer à distance en contournant le NAT (Network Address Translation), les routeurs et les pare-feu, d'exécuter du code et de couper la connexion électrique. Ces vulnérabilités permettraient donc aux cybercriminels de disposer d'un point d'entrée dans les réseaux internes de leurs victimes.

La divulgation des vulnérabilités montre la nécessité fondamentale d'évaluer le risque à travers tous les appareils connectés à Internet ou au Cloud. Même une unité de distribution d'électricité inoffensive, gérée à distance via Internet ou une plateforme de gestion dans le Cloud, peut permettre aux cybercriminels d'attaquer le réseau ou d'interrompre des services essentiels en coupant l'alimentation des appareils connectés à une PDU. Cela représente un énorme danger, en particulier pour les datacenter, dans lesquels les PDU sont souvent utilisées pour alimenter les serveurs et autres équipements réseau.

Cette enquête de Team82 est une extension de  travaux antérieurs de Team82 sur la sécurité des plateformes de gestion basées dans le Cloud. En juillet 2021, les chercheurs de Team82 ont publié un rapport intitulé « Top-Down and Bottom-Up : Exploiting Vulnerabilities in the OT Cloud Era », qui décrit les attaques sur les appareils via le Cloud et, inversement, les attaques des appareils sur les systèmes Cloud. 

Les détails de cette attaque et d'autres informations sont disponibles dans le billet de blog correspondant de Claroty : claroty.com/team82/research/jumping-nat-to-shut-down-electric-devices