Retour au blog
CVE-2026-41446WattBoxSnap OneIoTbackdoorRCECVE

WattBox 800/820 CVE-2026-41446 : backdoor diagnostique en plaintext sur l'étiquette

Snap One WattBox 800 et 820 (firmware < 2.10.0.0) embarquent des endpoints de diagnostic dont l'authentification repose sur MAC + service tag — imprimés sur l'étiquette. RCE root.

3 mai 20265 min de lecture

CVE-2026-41446 illustre un anti-pattern récurrent dans l'IoT professionnel : des endpoints HTTP de diagnostic non documentés, dont la seule "authentification" repose sur l'adresse MAC et un service tagtous deux imprimés en clair sur l'étiquette physique de l'appareil. Affectant les onduleurs/PDU réseau Snap One WattBox 800 et 820 sur firmware antérieur à 2.10.0.0, cette vulnérabilité permet à toute personne ayant accès visuel ou photographique à l'étiquette d'exécuter des commandes arbitraires en root à distance.

Détails techniques

Les WattBox sont des PDU (Power Distribution Units) administrables via réseau, largement utilisés dans les baies de brassage AV/IT, les data centers d'entreprise, et les installations résidentielles haut de gamme (intégration crestron/lutron). Le firmware embarque des endpoints HTTP de diagnostic non documentés, accessibles sur le port d'administration standard, dont l'authentification ne repose que sur deux valeurs :

  1. L'adresse MAC de l'équipement (12 caractères hex)
  2. Le service tag (chaîne courte alphanumérique)

Ces deux valeurs sont imprimées en plaintext sur l'étiquette physique apposée sur l'équipement, et apparaissent souvent sur :

  • Les photos de baies de brassage publiées sur LinkedIn / forums spécialisés
  • La documentation interne mal protégée (Confluence, Sharepoint sans ACL strictes)
  • Les stickers laissés sur les emballages dans les zones de réception
  • Les rapports d'inventaire transmis par mail aux clients/intégrateurs

L'exploitation est donc possible non seulement par un attaquant ayant un accès physique, mais aussi par tout attaquant disposant d'une photo lisible de l'étiquette.

Endpoints concernés

Les détails exacts des endpoints n'ont pas été publiés intégralement par Snap One, mais l'avis indique qu'ils permettent l'exécution de commandes arbitraires en tant que root sur l'OS embarqué.

Caractéristiques

ChampValeur
CVSS 3.19.8 (CRITICAL)
VecteurAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWECWE-798 (Use of Hard-coded Credentials) + CWE-489 (Active Debug Code)
AuthentificationAucune au sens classique — informations imprimées physiquement
Privilèges obtenusroot sur le firmware

Produits et versions affectés

ProduitVersions firmware affectéesVersion corrigée
WattBox 800 series< 2.10.0.02.10.0.0
WattBox 820 series< 2.10.0.02.10.0.0

Les autres séries WattBox (150, 250, 700) ne sont pas mentionnées dans l'avis officiel — vérifiez auprès de l'éditeur si vous opérez ces modèles.

Exploitation et impact

Scénarios d'attaque réalistes

Scénario 1 — Photo de baie

Un sous-traitant publie une photo d'avant/après lors d'une intervention dans la baie d'un client. L'étiquette du WattBox est lisible. Un attaquant identifie ensuite l'IP de l'équipement (Shodan, scan ciblé sur le secteur de l'organisation) et exploite la backdoor.

Scénario 2 — Documentation interne fuitée

Un inventaire d'équipements est exporté en CSV avec les MAC et service tags pour la facturation. Le fichier finit sur un Confluence ouvert ou un partage SMB mal protégé. Toute personne y accédant peut exploiter les WattBox correspondants.

Scénario 3 — Accès physique éphémère

Un visiteur ou prestataire avec accès très limité (par exemple personnel de ménage) prend une photo des étiquettes en quelques secondes. Aucune autre interaction nécessaire.

Impact

  • Coupure d'alimentation : un attaquant peut couper / redémarrer les prises commandées par le WattBox, provoquant une perte de service sur les équipements alimentés (serveurs, switches, sonorisation, vidéosurveillance)
  • Persistance : modification du firmware, installation d'implants
  • Pivot LAN : le WattBox est typiquement sur le réseau de management, point de pivot privilégié
  • Sabotage : redémarrage malicieusement chronométré pour maximiser l'impact business

Détection et IOC

Logs réseau

  • Connexions HTTP entrantes vers le port d'administration des WattBox depuis des IP externes
  • Requêtes vers des paths non documentés (à comparer aux logs d'utilisation normale)
  • Trafic sortant inhabituel depuis l'IP du WattBox (les PDU ne devraient communiquer qu'avec le serveur de monitoring)

Logs WattBox

Si la version firmware le permet, activez le journal d'audit et exportez-le vers un SIEM. Indicateurs :

  • Commandes de redémarrage / coupure non corrélées avec le calendrier de maintenance
  • Modifications de configuration en dehors des fenêtres de changement
  • Accès depuis IPs non whitelistées

Vérification physique

Auditez la chaîne de garde des étiquettes :

  • Combien de personnes ont eu accès aux étiquettes depuis l'installation ?
  • Existe-t-il des photos historiques d'inventaire avec l'étiquette visible ?
  • Le service tag a-t-il été partagé par mail / outil de ticketing ?

Mitigation et patch

Action immédiate : mettre à jour

Le firmware 2.10.0.0 ou supérieur corrige la vulnérabilité. Procédure générique :

  1. Téléchargez le firmware sur le portail Snap One
  2. Connectez-vous à l'interface web du WattBox
  3. Maintenance → Firmware → Upload firmware → redémarrage

Workaround si la mise à jour n'est pas immédiate

  1. Isolation réseau : placez tous les WattBox sur un VLAN management strict, sans accès Internet, accessible uniquement depuis le serveur de monitoring
  2. ACL d'accès : limitez l'accès au port HTTP d'administration aux seules IPs du serveur de monitoring
  3. Reset du service tag : si l'éditeur le permet via la nouvelle version, regénérez tous les service tags après mise à jour (les anciennes valeurs photographiées deviennent obsolètes)

Hardening durable

  • Masquer ou retirer les étiquettes physiques ou recouvrir les valeurs sensibles (MAC + tag) avec une étiquette opaque après installation, en conservant une copie sécurisée dans la documentation hors ligne
  • Réviser les politiques de prise de vue dans les zones techniques sensibles (interdiction de photo, signalement obligatoire)
  • Auditer périodiquement les exports d'inventaire pour s'assurer qu'ils ne contiennent plus les service tags

Pourquoi surveiller en continu votre parc IoT

L'IoT professionnel (PDU, onduleurs, équipements AV-over-IP, contrôleurs HVAC) est massivement présent dans les infrastructures d'entreprise mais quasiment absent des inventaires de vulnérabilités traditionnels. Les CVE comme CVE-2026-41446, exploitant des designs douteux plutôt que des bugs classiques, sont précisément celles que les scanners génériques manquent.

Avec cveo.tech, inventoriez vos équipements IoT et infrastructure au même titre que vos serveurs critiques et soyez alerté automatiquement dès qu'une CVE majeure cible une de vos versions exactes — y compris sur des éditeurs spécialisés que vos outils de scan classiques ignorent.

Surveillez les CVE avec l'IA

Recherche IA, scoring CVSS, surveillance de parc et alertes automatiques.

Essayer la recherche IA →Créer un compte gratuit

Articles similaires

Traefik CVE-2026-35051 & CVE-2026-39858 : contournement d'authentification 10/10

Deux CVE critiques (CVSS 10.0) permettent de bypasser ForwardAuth sur Traefik. Versions affectées, exploitation, IOC et patchs 2.11.43 / 3.6.14 / 3.7.0-rc.2.

Totolink A8000RU : 22 CVE critiques d'injection de commandes en cascade

Le routeur Totolink A8000RU concentre 22 CVE CRITICAL (CVSS 9.8) d'injection de commandes via /cgi-bin/cstecgi.cgi. Tous les exploits sont publics — analyse, IOC, mitigation.

Tenda AC18 CVE-2026-31255 : RCE non authentifiée via SetSambaCfg

Le routeur Tenda AC18 v15.03.05.05 contient une injection de commande critique (CVSS 9.8) sur /goform/SetSambaCfg. Analyse, exploitation et mitigation.