Un chercheur en cybersécurité a été menacé de poursuites judiciaires pour avoir décrit les vulnérabilités des PDU Powertek après la publication de correctifs.
Les vulnérabilités – deux jugées critiques et une « poignée » de problèmes plus mineurs – ont été découvertes par un chercheur polonais du nom de Gynvael Coldwind qui travaille actuellement pour Google.
Collectivement surnommés « Screams of Power » – en raison du plaisir du chercheur à nommer les bogues à l’aide d’un générateur de noms de groupe de métal – les problèmes critiques sont suivis comme CVE-2022-33174 et CVE-2022-33175.
Les deux ont un impact Powertechun fabricant d’unités de distribution d’alimentation (PDU), matériel clé pour la distribution et la gestion des alimentations électriques dans les centres de données.
En mars, le chercheur a examiné le micrologiciel Powertek et a découvert plusieurs problèmes dans la v3.30.23 et « éventuellement avant ». Les affectations CVE indiquent que les versions de firmware antérieures à 3.30.30 sont affectées.
La première vulnérabilité, CVE-2022-33174a reçu un score de gravité CVSS de 9,8 et est décrit comme un problème de contournement d’autorisation.
Le deuxième bogue, CVE-2022-33175, est également soumis à un score CVSS de 9,8. Ce problème est une fuite de jeton de session authentifiée.
Divulgation coordonnée
Selon le chercheur, un rapport de vulnérabilité a été envoyé à Powertek le 10 février, et il a été confirmé qu’il avait été consulté six jours plus tard. Powertek a ensuite demandé une période de grâce « courte » en mai et a confirmé que des correctifs étaient en cours.
Des e-mails ont été échangés concernant la distribution des correctifs entre le fournisseur et le chercheur, et en juin, des CVE ont été demandés.
Le chercheur en cybersécurité article de blogdécrivant les vulnérabilités, a ensuite été publié.
Jusqu’ici tout va bien. Cependant, Powertek a alors envoyé un e-mail tarte à Coldwind, demandant pourquoi ils « essayaient d’endommager la marque ». Coldwind a ensuite demandé ce que voulait dire le fournisseur, ce qui a conduit à une menace juridique :
Nous ne vous avons rien vendu, vous ne pouvez pas [sic] parler comme vous le faites, vous serez contacté par notre avocat.
Fils croisés
Dans une mise à jour posté le 13 juin, le chercheur en sécurité a déclaré qu’un appel téléphonique ultérieur avec Schneikel, le revendeur suisse de l’entreprise, a démontré un changement d’attitude – et il se peut que la menace soit due à un manque de compréhension du processus de divulgation, ainsi comme peur.
« En général, c’est la même vieille histoire : des personnes raisonnables gèrent mal la toute première divulgation de vulnérabilité parce qu’elles ne connaissent pas la norme acceptée par l’industrie », a commenté Coldwind. « Ils sont intéressés à améliorer leur jeu de sécurité, ce qui est formidable. »
Dawid Czarnecki a suggéré que les chercheurs divulguant des vulnérabilités pourraient envisager d’ajouter une FAQ ou un guide à leur e-mail pour atténuer la chaleur de leur première rencontre avec une telle situation.
« Pour les non-sécurité, [vulnerability disclosure] peut être perçu comme une attaque contre l’entreprise, alors ils réagissent parfois comme ça », Czarnecki c’est noté. « Mais voir qu’après des discussions avec vous, ils montrent une volonté de s’améliorer est très admirable malgré le mauvais premier contact. »
La gorgée quotidienne a contacté le chercheur et Powertek et nous mettrons à jour lorsque nous aurons une réponse.