CISA y Claroty destacan graves vulnerabilidades en un popular producto de unidad de distribución de energía

May 24, 2023

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó una advertencia sobre varias vulnerabilidades encontradas en las unidades de distribución de energía (PDU) iBoot de Dataprobe, algunas de las cuales permitirían a los piratas informáticos explotar los dispositivos de forma remota.

Dataprobe se fundó en 1969 y proporciona herramientas de gestión remota de sitios para redes críticas como control de tráfico aéreo y quioscos de bitcoins. Las PDU se encuentran comúnmente en entornos industriales, centros de datos y otros lugares donde las fuentes de alimentación deben estar cerca de equipos montados en bastidor.

Se puede acceder a algunas PDU y administrarlas de forma remota, lo que las coloca "al alcance de la mano para interrumpir servicios críticos cortando la energía eléctrica al dispositivo y, posteriormente, cualquier cosa conectada a él", según investigadores de la firma de ciberseguridad Claroty que descubrieron los errores.

El director ejecutivo de Dataprobe, David Weiss, dijo a The Record que la familia de productos iBoot-PDU ha estado en servicio desde 2016 y dijo que miles están implementados en industrias para tareas como señalización digital, telecomunicaciones y administración de sitios remotos.

La tecnología iBoot-PDU también se proporciona a los fabricantes de equipos originales para ayudarlos a implementar la administración remota de energía dentro de sus productos. Las iBoot-PDU de Dataprobe brindan a los usuarios capacidades de monitoreo en tiempo real y acceso remoto, lo que les permite controlar las salidas de forma remota utilizando una interfaz web incorporada o mediante protocolos como telnet y SNMP.

Pero Claroty descubrió siete vulnerabilidades en el producto y CISA dijo que dos de los errores tienen puntuaciones CVSS de 9,8: CVE-2022-3183 y CVE-2022-3184. El resto obtuvo puntuaciones que oscilaron entre 8,6 y 5,3.

Weiss dijo que varios de los errores se solucionaron en una actualización reciente y otros se resolvieron "con la configuración adecuada del cliente y la desactivación de funciones no necesarias".

“No hay nada en el informe Claroty que discutamos. Apreciamos el análisis de terceros y nos tomamos muy en serio la necesidad de mejorar y responder continuamente a los entornos de seguridad cambiantes”, afirmó. "Nos hemos comprometido con Claroty y continuamos trabajando con ellos y otras organizaciones de terceros en mejoras de seguridad".

Añadió que algunos de los problemas son "inherentes a los componentes de código abierto utilizados en el producto", mientras que otros están "actualmente bajo revisión y nuestro equipo de ingeniería está desarrollando una respuesta".

No explicó qué explicaciones se aplicaban a qué vulnerabilidades, pero según Claroty, todos los problemas que descubrieron fueron abordados adecuadamente por Dataprobe en la versión 1.42.06162022.

También señalaron que Dataprobe recomienda a los usuarios desactivar SNMP, telnet y HTTP si no están en uso como mitigación contra algunas de estas vulnerabilidades.

El investigador de seguridad de Claroty, Uri Katz, a quien CISA atribuye el descubrimiento de los errores, dijo en una entrevista que su equipo pudo exponer todos los dispositivos iBoot-PDU, incluso si están detrás de un firewall, al encontrar una vulnerabilidad en la plataforma en la nube.

Una de las vulnerabilidades que encontraron en la interfaz web les permitió ejecutar código no autorizado en ellas.

"Esto es especialmente preocupante porque podría haber permitido a los atacantes afianzarse dentro de las redes internas y explotar los dispositivos iBoot-PDU de forma remota, incluso si no están directamente expuestos en Internet", dijo Katz.

Katz explicó que la empresa de escaneo de Internet Censys publicó un informe en 2021 que encontró más de 2500 unidades utilizadas para administrar de forma remota la distribución de energía a las que se podía acceder a través de Internet.

El informedijo que el 31% de esos dispositivos eran de Dataprobe y ese porcentaje no incluía dispositivos detrás de un firewall administrados por su servicio en la nube.

"Por lo tanto, es probable que sea un número mucho mayor", señaló Katz. "Estas vulnerabilidades se pueden aprovechar para apagar servidores montados en bastidor y equipos de red alojados en centros de datos que funcionan con iBoot-PDU".

Claroty también desarrolló una forma de encontrar dispositivos iBoot-PDU conectados a la nube, ampliando la superficie de ataque disponible a todos los dispositivos conectados.

Un atacante podría explotar los errores a través de una conexión web directa al dispositivo o mediante la nube. A través de la interfaz web, los usuarios pueden configurar la PDU, ver los detalles del dispositivo y controlar los enchufes eléctricos del dispositivo.

Según Claroty, cada vez que los usuarios hacen clic en los botones virtuales de encendido/apagado de un tomacorriente, un relé eléctrico abre o cierra el circuito de ese tomacorriente específico.

“La plataforma iBoot Cloud Service de Dataprobe puede controlar directamente los puntos de venta y también tiene una función para acceder a la página de administración principal del dispositivo desde la nube. Esta característica permite a los usuarios conectarse de forma remota a su dispositivo sin exponerlo a Internet”, explicó Claroty.

“Ahora tenemos la capacidad de exponer todos los dispositivos iBoot-PDU controlados en la nube y explotarlos de forma remota a través de su interfaz web evitando NAT, enrutadores y firewalls. Un atacante que adquiera tal capacidad probablemente comenzaría a explotar la red interna porque ahí es donde tendría un punto de apoyo inicial”.

Los investigadores señalaron que sería “aterrador” que los piratas informáticos tuvieran control sobre los enchufes físicos y tuvieran la capacidad de apagar de forma remota la energía de los dispositivos dentro de la red interna.

El aviso de CISA sobre las vulnerabilidades coincidió con la publicación de varios otros avisos sobre errores de control industrial.

La semana pasada, la agencia de ciberseguridad agregó seis vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas, una de las cuales se utilizó durante el ahora infame ataque Stuxnet de 2010 para atacar los sistemas de control de supervisión y adquisición de datos (SCADA) de las instalaciones nucleares de Irán.

Jonathan Greig es reportero de noticias de última hora en Recorded Future News. Jonathan ha trabajado como periodista en todo el mundo desde 2014. Antes de regresar a la ciudad de Nueva York, trabajó para medios de comunicación en Sudáfrica, Jordania y Camboya. Anteriormente cubrió la ciberseguridad en ZDNet y TechRepublic.