CISA und Claroty weisen auf schwerwiegende Schwachstellen in einem beliebten Stromverteilungseinheitsprodukt hin

May 24, 2023

Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine Warnung vor mehreren Schwachstellen herausgegeben, die in den iBoot-Stromverteilungseinheiten (PDU) von Dataprobe gefunden wurden. Einige davon würden es Hackern ermöglichen, Geräte aus der Ferne auszunutzen.

Dataprobe wurde 1969 gegründet und bietet Remote-Standortverwaltungstools für kritische Netzwerke wie Flugsicherung und Bitcoin-Kioske. PDUs sind häufig in Industrieumgebungen, Rechenzentren und anderswo zu finden, wo sich die Stromversorgung in der Nähe von Rack-Geräten befinden muss.

Auf einige PDUs kann aus der Ferne zugegriffen und diese verwaltet werden, sodass sie „in Armlänge kritische Dienste stören, indem sie die Stromversorgung des Geräts und anschließend aller daran angeschlossenen Geräte unterbrechen“, so Forscher des Cybersicherheitsunternehmens Claroty, das die Fehler entdeckt hat.

David Weiss, CEO von Dataprobe, sagte gegenüber The Record, dass die iBoot-PDU-Produktfamilie seit 2016 im Einsatz sei und dass Tausende branchenübergreifend für Aufgaben wie Digital Signage, Telekommunikation und Remote-Site-Management eingesetzt würden.

Die iBoot-PDU-Technologie wird auch Erstausrüstern zur Verfügung gestellt, um sie bei der Bereitstellung einer Fernstromverwaltung in ihren Produkten zu unterstützen. Dataprobe iBoot-PDUs bieten Benutzern Echtzeitüberwachungsfunktionen und Fernzugriff, sodass Benutzer Steckdosen über eine integrierte Webschnittstelle oder über Protokolle wie Telnet und SNMP fernsteuern können.

Aber Claroty entdeckte sieben Schwachstellen im Produkt und CISA sagte, zwei der Fehler hätten CVSS-Werte von 9,8 – CVE-2022-3183 und CVE-2022-3184. Der Rest hatte Werte zwischen 8,6 und 5,3.

Weiss sagte, dass einige der Fehler in einem kürzlich durchgeführten Update behoben wurden und andere „durch ordnungsgemäße Kundenkonfiguration und Deaktivierung nicht erforderlicher Funktionen“ behoben wurden.

„Der Claroty-Bericht enthält nichts, was wir bestreiten. Wir schätzen die Analyse durch Dritte und nehmen die Notwendigkeit einer kontinuierlichen Verbesserung und Reaktion auf sich ändernde Sicherheitsumgebungen sehr ernst“, sagte er. „Wir haben mit Claroty zusammengearbeitet und arbeiten weiterhin mit ihnen und anderen Drittorganisationen an Sicherheitsverbesserungen.“

Er fügte hinzu, dass einige der Probleme „in den im Produkt verwendeten Open-Source-Komponenten liegen“, während andere „derzeit überprüft werden und unser Ingenieurteam eine Antwort entwickelt“.

Er erklärte nicht, welche Erklärungen auf welche Schwachstellen zutrafen, aber laut Claroty wurden alle entdeckten Probleme von Dataprobe in Version 1.42.06162022 angemessen behoben.

Sie stellten außerdem fest, dass Dataprobe Benutzern empfiehlt, SNMP, Telnet und HTTP zu deaktivieren, wenn sie nicht verwendet werden, um einige dieser Schwachstellen zu beheben.

Der Claroty-Sicherheitsforscher Uri Katz, dem CISA die Entdeckung der Fehler zuschreibt, sagte in einem Interview, dass sein Team alle iBoot-PDU-Geräte offenlegen konnte, selbst wenn sie sich hinter einer Firewall befanden, indem es eine Schwachstelle in der Cloud-Plattform fand.

Eine der Schwachstellen, die sie in der Weboberfläche fanden, ermöglichte es ihnen, nicht autorisierten Code darauf auszuführen.

„Dies ist besonders besorgniserregend, da es Angreifern ermöglicht hätte, in internen Netzwerken Fuß zu fassen und die iBoot-PDU-Geräte aus der Ferne auszunutzen, selbst wenn sie nicht direkt im Internet verfügbar sind“, sagte Katz.

Katz erklärte, dass das Internet-Scanning-Unternehmen Censys im Jahr 2021 einen Bericht veröffentlicht habe, in dem festgestellt wurde, dass mehr als 2.500 Geräte zur Fernverwaltung der Stromverteilung über das Internet erreichbar seien.

Der Berichtsagte, dass 31 % dieser Geräte von Dataprobe stammten und dieser Prozentsatz keine Geräte hinter einer Firewall umfasste, die von ihrem Cloud-Dienst verwaltet werden.

„Es ist also wahrscheinlich eine viel höhere Zahl“, bemerkte Katz. „Diese Schwachstellen können ausgenutzt werden, um Rack-Server und Netzwerkgeräte in Rechenzentren, die mit iBoot-PDUs betrieben werden, abzuschalten.“

Claroty hat außerdem eine Möglichkeit entwickelt, mit der Cloud verbundene iBoot-PDU-Geräte zu finden und so die verfügbare Angriffsfläche auf alle verbundenen Geräte zu erweitern.

Ein Angreifer könnte die Fehler über eine direkte Webverbindung zum Gerät oder über die Cloud ausnutzen. Über die Weboberfläche können Benutzer die PDU konfigurieren, Gerätedetails anzeigen und die Steckdosen am Gerät steuern.

Laut Claroty öffnet oder schließt jedes Mal, wenn Benutzer auf die virtuellen Ein-/Aus-Tasten einer Steckdose klicken, ein elektrisches Relais den Stromkreis zu dieser bestimmten Steckdose.

„Die iBoot Cloud Service-Plattform von Dataprobe kann Steckdosen direkt steuern und verfügt außerdem über eine Funktion, um aus der Cloud auf die Hauptverwaltungsseite des Geräts zuzugreifen. Mit dieser Funktion können Benutzer aus der Ferne eine Verbindung zu ihrem Gerät herstellen, ohne es dem Internet auszusetzen“, erklärte Claroty.

„Wir haben jetzt die Möglichkeit, alle cloudgesteuerten iBoot-PDU-Geräte verfügbar zu machen und sie remote über ihre Weboberfläche auszunutzen, während wir NAT, Router und Firewalls umgehen. Ein Angreifer, der eine solche Fähigkeit erlangt, würde wahrscheinlich damit beginnen, das interne Netzwerk auszunutzen, weil er dort einen ersten Halt hätte.“

Die Forscher stellten fest, dass es für Hacker „beängstigend“ wäre, die Kontrolle über physische Steckdosen zu haben und die Möglichkeit zu haben, die Stromversorgung von Geräten im internen Netzwerk aus der Ferne abzuschalten.

Die Empfehlung der CISA zu den Schwachstellen fiel mit der Veröffentlichung mehrerer anderer Hinweise zu Fehlern in der Industriesteuerung zusammen.

Letzte Woche fügte die Cybersicherheitsbehörde ihrem Katalog bekannter ausgenutzter Schwachstellen sechs Schwachstellen hinzu, von denen eine während des mittlerweile berüchtigten Stuxnet-Angriffs im Jahr 2010 ausgenutzt wurde, um die SCADA-Systeme (Supervisory Control and Data Acquisition) der iranischen Nuklearanlagen anzugreifen.

Jonathan Greig ist Breaking News Reporter bei Recorded Future News. Jonathan ist seit 2014 weltweit als Journalist tätig. Bevor er nach New York City zurückkehrte, arbeitete er für Nachrichtenagenturen in Südafrika, Jordanien und Kambodscha. Zuvor befasste er sich mit Cybersicherheit bei ZDNet und TechRepublic.