Quasi un terzo delle unità di distribuzione dell’alimentazione (PDU) che possono essere controllate via Internet sono dispositivi del produttore Dataprobe.
I ricercatori di sicurezza di Team82, il pluripremiato gruppo di ricerca di Claroty, hanno rivelato diverse vulnerabilità nelle PDU iBoot, le unità di distribuzione intelligente dell’energia di Dataprobe.
Le PDU possono essere gestite da qualsiasi luogo tramite un’interfaccia web o una piattaforma basata su cloud. Sfruttando queste vulnerabilità, gli aggressori sono in grado di eseguire codici in remoto e interrompere l’alimentazione a tutti i dispositivi collegati.
Dataprobe ha risolto queste vulnerabilità grazie a un nuovo aggiornamento e per questo motivo ha consigliato ai propri utenti di passare alla versione 1.42.06162022. Inoltre, per risolvere alcune delle vulnerabilità sempre legate alla sicurezza, Dataprobe consiglia di disabilitare i protocolli SNMP, Telnet e HTTP quando non in uso.
Il contesto
Le unità di distribuzione dell’alimentazione (PDU) sono dispositivi comuni negli ambienti industriali, nei data center e in tutte le aree nelle quali gli alimentatori di energia devono essere posizionati vicino alle apparecchiature montate su rack. Oggi, sempre più PDU possono essere controllate e gestite da remoto e, per questo motivo, attaccando le vulnerabilità presenti nell’interfaccia Web o nella piattaforma di gestione basata su cloud un utente malintenzionato può interrompere i servizi critici, togliendo alimentazione al dispositivo e, successivamente, a tutti quelli ad esso collegati. Un rapporto Censys del 2021 mostra che più di 2000 PDU sono connesse a Internet, il 31% dei quali sono dispositivi Dataprobe.
Team82 ha scoperto sette vulnerabilità sulle unità di Dataprobe – successivamente patchate dall’azienda – riuscendo ad accedere da remoto alle PDU iBoot bypassando i requisiti di autenticazione e ottenendo il codice di esecuzione. Queste vulnerabilità consentirebbero, quindi, ai criminali informatici di avere un punto di ingresso nelle reti interne delle vittime.
La divulgazione delle vulnerabilità mostra la necessità fondamentale di valutare il rischio su tutti i dispositivi connessi a Internet o al cloud.
Anche un’unità di distribuzione dell’energia innocua, gestita in remoto tramite Internet o una piattaforma di gestione basata su cloud, può consentire ai criminali informatici di attaccare la rete o interrompere i servizi critici, togliendo alimentazione ai dispositivi collegati a una PDU. Ciò rappresenta un enorme pericolo, soprattutto per i data center, dove le PDU vengono spesso utilizzate per alimentare server e altre apparecchiature di rete.
Questo report è un’estensione del precedente lavoro di Team82 sulla sicurezza delle piattaforme di gestione basate su cloud. Nel luglio 2021, i ricercatori di Team82, infatti, hanno pubblicato un rapporto intitolato Top-Down and Bottom-Up : Exploiting Vulnerabilities in the OT Cloud Era, che descriveva le vulnerabilità di alcuni sistemi di gestione basati su Cloud e quelle della piattaforma Automation Server di CODESYS utilizzata per gestire i dispositivi industriali dal cloud.
Maggiori dettagli e informazioni sono disponibili nel corrispondente post sul blog di Claroty: https://claroty.com/team82/research/jumping-nat-to-shut-down-electric-devices