A Eaton, uma das maiores empresas globais no gerenciamento de energia elétrica, hidráulica e mecânica, com forte atuação no Brasil, lançou patches para corrigir seis vulnerabilidades graves em seu software de gerenciamento inteligente de energia (IPM), que potencialmente permitiam que os operadores da ameaça interrompessem o fornecimento de energia.
A solução IPM da Eaton garante o tempo de atividade do sistema e a integridade dos dados ao fornecer acesso remoto às organizações. Usando esta solução, é possível monitorar, gerenciar e controlar remotamente os dispositivos de fonte de alimentação ininterrupta (UPS) da rede.
No entanto, de acordo com os alertas de segurança publicados este mês pela Eaton e pela Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos Estados Unidos, o software IPM apresentava seis vulnerabilidades de alta gravidade. Embora algumas das vulnerabilidades só possam ser exploradas por um invasor autenticado, outras podem ser exploradas sem autenticação, inclusive para execução arbitrária de código.
Confira, a seguir, as vulnerabilidades (referenciadas como CVEs) e o escore de cada uma delas de acordo com o sistema de pontuação comum de vulnerabilidades (CVSS):
. CVE-2021-23276 – Escore CVSS v3: 7.1
CWE-89: Neutralização imprópria de elementos especiais usados em um comando SQL (injeção de SQL). O Eaton IPM anterior à versão 1.69 é vulnerável à injeção de SQL autenticada. Um usuário mal-intencionado pode enviar um pacote criado especificamente para explorar esta vulnerabilidade. A exploração bem-sucedida pode permitir que invasores adicionem usuários ao banco de dados.
. CVE-2021-23277 – Escore CVSS v3: 8.3
CWE-95: Neutralização imprópria de diretivas em código avaliado dinamicamente (injeção de avaliação). O Eaton IPM anterior à versão 1.69 é vulnerável à vulnerabilidade de injeção de avaliação não autenticada. O software não neutraliza a sintaxe do código dos usuários antes de usar na chamada de avaliação dinâmica na função ‘loadUserFile’ em scripts /libs/utils.js. A exploração bem-sucedida pode permitir que os invasores controlem a entrada para a função e executem comandos controlados pelo invasor.
. CVE-2021-23278 – Escore CVSS v3: 8.7
CWE-20: Validação de entrada imprópria. O Eaton IPM anterior à versão 1.69 é vulnerável à vulnerabilidade de exclusão de arquivo arbitrário autenticado. Esta vulnerabilidade ocorre devido à validação de entrada inadequada em server /maps_srv.js com a ação ‘removeBackground’ e server/node_upgrade_srv.js com a ação ‘removeFirmware.’ Um invasor pode enviar pacotes especificamente criados para excluir os arquivos no sistema onde o software IPM está instalado.
Veja isso
Novas vulnerabilidades no WhatsApp permitem hackear celular Android
Alerta dos EUA aponta 5 vulnerabilidades mais exploradas pela Rússia
. CVE-2021-23279 – Escore CVSS v3: 8.0
CWE-20: Validação de entrada imprópria. O Eaton IPM anterior à versão 1.69 é vulnerável à falha de exclusão arbitrária de arquivos não autenticada. Isso é induzido devido à validação de entrada inadequada na classe meta_driver_srv.js com a ação ‘saveDriverData’ usando ‘driverID’ inválido. Um invasor pode enviar pacotes criados especificamente para excluir os arquivos do sistema onde o software IPM está instalado.
. CVE-2021-23280 – Escore CVSS v3: 8.0
CWE-434: Upload irrestrito de arquivo com tipo perigoso. O Eaton IPM anterior à versão 1.69 é vulnerável à vulnerabilidade de upload de arquivo arbitrário autenticado. O maps_srv.js do IPM permitiu que um invasor carregasse um arquivo NodeJS malicioso usando a ação ‘uploadBackgroud’. Um invasor pode carregar um código malicioso ou executar qualquer comando usando um pacote especialmente criado para explorar a vulnerabilidade.
. CVE-2021-23281 – Escore CVSS v3: 8.3
CWE-94: Controle impróprio de geração de código (injeção de código). O Eaton IPM anterior à versão 1.69 é vulnerável à vulnerabilidade de execução remota de código não autenticado. O software IPM não limpa a data fornecida por meio da ação ‘coverterCheckList’ na classe meta_driver_srv.js. Os invasores podem enviar um pacote criado especificamente para fazer o IPM se conectar ao servidor SNMP rouge e executar o código controlado pelo invasor.
Outros produtos afetados
De acordo com a recomendação da Eaton, os três produtos a seguir e suas versões subsequentes foram afetados devido a essas vulnerabilidades:
- Eaton IPM – todas as versões anteriores a 1.69.
- Dispositivo virtual Eaton Intelligent Power Manager (IPM VA) – todas as versões anteriores a 1.69.
- Eaton Intelligent Power Protector (IPP) – todas as versões anteriores a 1.68.
Amir Preminger, vice-presidente de pesquisa da empresa de segurança cibernética industrial Claroty, que foi creditado pela Eaton por relatar as seis vulnerabilidades, disse ao site Infosecurity que os problemas foram identificados em uma interface de servidor web do software IPM que permite aos usuários configurar o produto. Este servidor da web é normalmente acessível a partir da rede local e não está hospedado em servidores voltados para o público.
