Language
I difetti di alimentazione possono essere sfruttati per spegnere i datacenter • The Register
CasaCasa > Blog > I difetti di alimentazione possono essere sfruttati per spegnere i datacenter • The Register
ULTIME NOTIZIE

I difetti di alimentazione possono essere sfruttati per spegnere i datacenter • The Register

Dec 18, 2023

DEF CON Sarebbe relativamente facile per i malintenzionati entrare nei dispositivi critici di gestione energetica dei data center, interrompere le forniture di elettricità a più dispositivi collegati e interrompere tutti i tipi di servizi, dalle infrastrutture critiche alle applicazioni aziendali, tutto con la semplice pressione di un pulsante.

Questa affermazione è stata fatta dai ricercatori di sicurezza Trellix Sam Quinn e Jesse Chick, che hanno trovato nove bug nel PowerPanel Enterprise DCIM di CyberPower e cinque vulnerabilità nell'iBoot Power Distribution Unit (PDU) di Dataprobe, e hanno dettagliato i loro exploit al DEF CON 31 di oggi.

Nel loro discorso e nella ricerca di accompagnamento, hanno mostrato come gli intrusi di rete potrebbero tagliare l’elettricità alle apparecchiature del data center – server, switch e simili – collegate a dispositivi vulnerabili di gestione dell’energia.

Oppure, hanno detto a The Register, i criminali potrebbero concatenare queste vulnerabilità per fare qualcosa di un po’ più furtivo e di lunga durata, come aprire backdoor sulle apparecchiature di fornitura e distribuire spyware o qualche tipo di malware distruttivo.

Entrambi i fornitori, CyberPower e Dataprobe, hanno rilasciato correzioni per risolvere i difetti nel periodo precedente a DEF CON e dopo aver collaborato con i ricercatori. Gli utenti possono aggiornare a CyberPower DCIM versione 2.6.9 del software PowerPanel Enterprise e all'ultima versione 1.44.08042023 [immagine firmware] del firmware Dataprobe iBoot PDU per tappare i buchi.

"I data center sono un aspetto poco studiato delle infrastrutture critiche", ha detto Quinn a The Register. Mentre Trellix si è concentrato su due prodotti di gestione e alimentazione di uso comune di due produttori, ci sono molte altre soluzioni di altri fornitori da esplorare, rendendo quest'area di ricerca "matura per la conquista", ha affermato Chick.

L'attrezzatura DCIM di CyberPower consente ai team IT di gestire l'infrastruttura dei data center tramite il cloud ed è comunemente utilizzata dalle aziende che gestiscono distribuzioni di server locali in data center più grandi e co-localizzati, ci viene detto.

Il duo ha riscontrato quattro bug nella piattaforma DCIM:

I malintenzionati potrebbero utilizzare uno qualsiasi dei primi tre CVE per aggirare i controlli di autenticazione, ottenere l'accesso alla console di gestione e spegnere i dispositivi all'interno dei data center. Un malintenzionato dovrebbe essere in grado di connettersi alla console, notiamo.

"Ciò in realtà ha un costo piuttosto devastante", ha affermato Quinn, citando le statistiche dell'Uptime Institute secondo cui il 25% delle interruzioni dei data center costa più di 1 milione di dollari, mentre il 45% costa tra 100.000 e 1 milione di dollari. "Il semplice spegnimento dei dispositivi ha un notevole impatto."

Secondo i ricercatori, spegnere i dispositivi del data center tramite le vulnerabilità della PDU Dataprobe iBoot è altrettanto semplice, a condizione che sia possibile raggiungere la sua interfaccia di gestione.

Il team ha riscontrato cinque bug in questo prodotto:

"La natura delle vulnerabilità che abbiamo riscontrato in entrambi i prodotti era in realtà molto, molto simile poiché entrambi hanno un'interfaccia di gestione basata sul web," ha detto Chick. "Il compito numero uno sarebbe quello di aggirare l'autenticazione in modo da poter eseguire azioni con privilegi di amministratore: questo di per sé è sufficiente a causare un danno sufficiente."

Pertanto, aggirare l'autenticazione nella PDU consentirebbe a un malintenzionato di accendere e spegnere server rack, switch di rete o qualsiasi altra cosa connessa a quel dispositivo, ha aggiunto.

"Ma una volta che saremo in grado di bypassare l'autenticazione e accedere a questi endpoint limitati, potremo ottenere l'esecuzione del codice sul sistema operativo sottostante e installare malware", ha affermato Chick.

Il team di Trellix non ha sviluppato exploit proof-of-concept che potrebbero, ad esempio, essere utilizzati per distribuire malware in un data center attraverso i buchi di cui sopra: è qualcosa per la ricerca futura.

"Ma questo è il modo in cui realizzeresti cose come lo spionaggio aziendale", ha detto Chick. "Vorresti installare una sorta di strumento in grado di monitorare il traffico di rete o, o raccogliere registri, raccogliere credenziali e quel genere di cose."

I malintenzionati potrebbero farlo concatenando i difetti di bypass dell'autenticazione con l'iniezione di comandi del sistema operativo per ottenere l'accesso root sull'alimentatore. E da lì potrebbero causare altri danni e caos.