Multiple Flaws in CyberPower and Dataprobe Products Put Data Centers at Risk
2023/08/14 TheHackerNews — CyberPower のPowerPanel Enterprise Data Center Infrastructure Management (DCIM) プラットフォームおよび、Dataprobe の iBoot Power Distribution Unit (PDU) に、複数のセキュリティ脆弱性が存在する。それらが悪用されと、システムへの認証なしでのアクセスが引き起こされ、標的とされる環境で壊滅的な損害が発生する可能性がある。9件の脆弱性 (CVE-2023-3259〜CVE-2023-3267) の深刻度は CVSS 6.7〜9.8であり、悪用に成功した脅威アクターによる、データセンター全体のシャットダウンや、データセンターのデプロイメント侵害、データの窃取といった、大規模な攻撃が仕掛けられる可能が生じる。
Trellix のセキュリティ研究者である Sam Quinn と Jesse Chick と Philippe Laulheret は、The Hacker Newsと共有したレポートの中で、「攻撃者は、これらの脆弱性を連鎖させて、システムの完全なアクセスを得ることができる。さらに、これらの両製品はリモートコード・インジェクションの脆弱性があり、それを利用したバックドアの構築や、データセンター機器や企業システムなどへ向けた、より広範なネットワークを侵害するための入口を作ることも可能だ」と述べている。
この調査結果は、本日に開催された DEF CON セキュリティ・カンファレンスで発表されたが、現時点では、一連の欠陥が実際に悪用されたという証拠はない。PowerPanel Enterprise ソフトウェアのバージョン 2.6.9 と、Dataprobe iBoot PDU ファームウェアのバージョン 1.44.08042023 で対処された欠陥のリストは、以下の通りである。
Dataprobe iBoot PDU ファームウェア
- CVE-2023-3259 (CVSS: 9.8):認証バイパスにつながる、信頼できないデータのデシリアライズ。
- CVE-2023-3260 (CVSS: 7.2):認証されたリモートコード実行につながる、OS コマンド・インジェクション。
- CVE-2023-3261 (CVSS: 7.5):サービス拒否 (DoS) につながる、バッファ・オーバフロー。
- CVE-2023-3262 (CVSS : 6.7):ハードコードされた認証情報の使用。
- CVE-2023-3263 (CVSS: 7.5):代替名による認証バイパス。
CyberPower PowerPanel エンタープライズ
- CVE-2023-3264 (CVSS: 6.7):ハードコードされた資格情報の悪用。
- CVE-2023-3265 (CVSS: 7.2):認証バイパスにつながるエスケープ/メタ/コントロール・シーケンスの不適切な無効化。
- CVE-2023-3266 (CVSS: 7.5):認証バイパスにつながる、標準のセキュリティ・チェックの不適切な実装。
- CVE-2023-3267 (CVSS: 7.5):認証されたリモートコード実行につながる、OS コマンド・インジェクション。
上記の脆弱性の悪用に成功した攻撃者により、データセンターに関連する重要なインフラの展開に影響は発生し、スイッチの切り替えによるシャットダウン/広範なランサムウェア感染/DDoS 攻撃/ワイパー攻撃/サイバースパイ行為といった攻撃へといたる可能性がある。
研究者たちは、「データセンター管理のプラットフォームやデバイスに脆弱性が発生すると、内部ネットワークの迅速かつ完全な侵害へといたる。したがって、脅威アクターたちは、クラウド・インフラなどを攻撃する足がかりを得る可能性がある」と述べている。
データセンターの Data Center Infrastructure Management (DCIM) と Power Distribution Unit (PDU) に脆弱性が発見されたとのことです。詳しいことは、よく判りませんが、その名前からして、どちらも重要なデータセンター・インフラなのだと思います。データセンターに関しては、2023/02/21 に「APAC のデータセンターが標的:新たなサイバー攻撃の証拠が発見された」という記事がありました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.