Pesquisadores descobrem que várias vulnerabilidades na plataforma CyberPower PowerPanel Enterprise DCIM e Dataprobe PDU podem expor data centers a hackers, que podem se aproveitar delas.
Nove falhas foram identificadas nas soluções CyberPower e Dataprobe
Pesquisadores do Trellix Advanced Research Center descobriram nove vulnerabilidades que afetam a plataforma PowerPanel Enterprise Data Center Infrastructure Management (DCIM) da CyberPower e a unidade de distribuição de energia iBoot (PDU) da Dataprobe. Essas vulnerabilidades podem levar um invasor a obter acesso não autenticado a esses sistemas e realizar uma ampla gama de atividades maliciosas.
A CyberPower é uma importante fornecedora de soluções de infraestrutura e hardware de data center, com foco específico em tecnologias de proteção de energia de ponta e sistemas eficazes de gerenciamento de energia.
A plataforma PowerPanel Enterprise DCIM permite que as equipes de TI gerenciem, configurem e monitorem a infraestrutura de um data center por meio da conectividade em nuvem. Essa plataforma serve como um hub integrado de informações e controle para todos os dispositivos interconectados.
Essas soluções são amplamente adotadas, desde empresas que supervisionam instalações de servidores no local até data centers co-localizados expansivos, incluindo gigantes do setor como AWS, Google Cloud, Microsoft Azure e outros.
O acesso a sistemas CyberPower pode permitir que invasores cortem a energia de dispositivos conectados a uma PDU, desligando data centers. Um agente de ameaça pode causar uma interrupção prolongada com o simples toque de um botão em dezenas de data centers comprometidos. Além disso, a manipulação do gerenciamento de energia também pode danificar os dispositivos de hardware.
Mais estragos que as vulnerabilidades podem trazer
Os agentes de ameaças também podem comprometer um data center estabelecendo um backdoor e abusando de sistemas e dispositivos que espalham malware em grande escala. Os grupos APT podem acionar essas falhas para conduzir ataques de ciberespionagem.
Os pesquisadores apresentaram suas descobertas na conferência de segurança DEFCON . As nove vulnerabilidades receberam CVE entre CVE-2023-3259 até CVE-2023-3267. A exploração bem-sucedida das falhas pode permitir que os agentes de ameaças desliguem data centers inteiros.
A boa notícia é que os pesquisadores não encontraram evidências de que essas falhas foram exploradas na natureza.
Abaixo está a lista de falhas descobertas pelos pesquisadores:
CyberPower PowerPanel Enterprise:
- CVE-2023-3264: Uso de credenciais codificadas (CVSS 6.7);
- CVE-2023-3265: Neutralização imprópria de sequências de escape, meta ou controle (Auth Bypass; CVSS 7.2);
- CVE-2023-3266: verificação de segurança implementada incorretamente para padrão (desvio de autenticação; CVSS 7.5);
- CVE-2023-3267: Injeção de comando do sistema operacional (RCE autenticado; CVSS 7.5).
- Dataprobe iBoot PDU:
- CVE-2023-3259: Desserialização de dados não confiáveis (Auth Bypass; CVSS 9.8);
- CVE-2023-3260: Injeção de comando do sistema operacional (RCE autenticado; CVSS 7.2);
- CVE-2023-3261: estouro de buffer (DOS; CVSS 7.5);
- CVE-2023-3262: Uso de credenciais codificadas (CVSS 6.7);
- CVE-2023-3263: Desvio de autenticação por nome alternativo (Auth Bypass; CVSS 7.5).