Plusieurs vulnérabilités de sécurité affectant la plate-forme PowerPanel Enterprise Data Center Infrastructure Management (DCIM) de CyberPower et l’unité de distribution d’alimentation iBoot (PDU) de Dataprobe pourraient être potentiellement exploitées pour obtenir un accès non authentifié à ces systèmes et infliger des dommages catastrophiques dans les environnements cibles.
Les neuf vulnérabilités, de CVE-2023-3259 à CVE-2023-3267, portent des scores de gravité allant de 6,7 à 9,8, permettant aux acteurs de la menace de fermer des centres de données entiers et de compromettre les déploiements de centres de données pour voler des données ou lancer des attaques massives à une échelle massive. échelle.
« Un attaquant pourrait enchaîner ces vulnérabilités pour obtenir un accès complet à ces systèmes », ont déclaré les chercheurs en sécurité de Trellix Sam Quinn, Jesse Chick et Philippe Laulheret dans un rapport partagé avec The Hacker News.
« En outre, les deux produits sont vulnérables à l’injection de code à distance qui pourrait être exploitée pour créer une porte dérobée ou un point d’entrée vers le réseau plus large d’appareils de centres de données connectés et de systèmes d’entreprise. »
Les résultats ont été présentés lors de la conférence sur la sécurité DEFCON aujourd’hui. Il n’y a aucune preuve que ces lacunes ont été abusées dans la nature. La liste des failles, qui ont été corrigées dans la version 2.6.9 du logiciel PowerPanel Enterprise et la version 1.44.08042023 du firmware Dataprobe iBoot PDU, est ci-dessous –
Dataprobe iBoot PDU –
- CVE-2023-3259 (Score CVSS : 9,8) – Désérialisation des données non fiables, entraînant un contournement de l’authentification
- CVE-2023-3260 (Score CVSS : 7,2) – Injection de commande du système d’exploitation, conduisant à l’exécution de code à distance authentifié
- CVE-2023-3261 (score CVSS : 7,5) – Débordement de tampon, conduisant à un déni de service (DoS)
- CVE-2023-3262 (Score CVSS : 6,7) – Utilisation d’informations d’identification codées en dur
- CVE-2023-3263 (Score CVSS : 7,5) – Contournement de l’authentification par nom alternatif
CyberPower PowerPanel Entreprise –
- CVE-2023-3264 (Score CVSS : 6,7) – Utilisation d’informations d’identification codées en dur
- CVE-2023-3265 (Score CVSS : 7,2) – Neutralisation incorrecte des séquences d’échappement, méta ou de contrôle, entraînant un contournement de l’authentification
- CVE-2023-3266 (Score CVSS : 7,5) – Vérification de sécurité incorrectement mise en œuvre pour la norme, entraînant un contournement de l’authentification
- CVE-2023-3267 (Score CVSS : 7,5) – Injection de commande du système d’exploitation, conduisant à l’exécution de code à distance authentifié
L’exploitation réussie des failles susmentionnées pourrait avoir un impact sur les déploiements d’infrastructures critiques qui reposent sur des centres de données, entraînant des fermetures d’un « basculement d’un interrupteur », mener des attaques généralisées de ransomware, DDoS ou d’effacement, ou mener du cyberespionnage.
« Une vulnérabilité sur une plate-forme ou un appareil de gestion de centre de données unique peut rapidement conduire à une compromission complète du réseau interne et donner aux acteurs de la menace un point d’appui pour attaquer davantage toute infrastructure cloud connectée », ont déclaré les chercheurs.
