Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомНеисправности в электроснабжении могут быть использованы для отключения центров обработки данных • The Register
DEF CON Злоумышленникам будет относительно легко взломать критически важное оборудование управления питанием центра обработки данных, отключить подачу электроэнергии к множеству подключенных устройств и нарушить работу всех видов услуг — от критически важной инфраструктуры до бизнес-приложений — и все это одним нажатием кнопки.
Такое заявление сделали исследователи безопасности Trellix Сэм Куинн и Джесси Чик, которые обнаружили девять ошибок в PowerPanel Enterprise DCIM от CyberPower и пять уязвимостей в блоке распределения питания iBoot (PDU) Dataprobe и подробно описали их эксплойты сегодня на DEF CON 31.
В своем выступлении и сопровождающем его исследовании они показали, как сетевые злоумышленники могут отключить электроэнергию для оборудования центра обработки данных — серверов, коммутаторов и т. д. — подключенного к уязвимым устройствам управления питанием.
Или, как они рассказали The Register, преступники могут объединить эти уязвимости вместе, чтобы сделать что-то более скрытное и долгоиграющее, например, открыть бэкдоры на оборудовании снабжения и развернуть шпионское ПО или какой-либо тип разрушительного вредоносного ПО.
Оба поставщика, CyberPower и Dataprobe, выпустили исправления для устранения недостатков в преддверии DEF CON и после работы с исследователями. Пользователи могут обновить CyberPower DCIM версии 2.6.9 своего программного обеспечения PowerPanel Enterprise и последнюю версию 1.44.08042023 [образ прошивки] прошивки Dataprobe iBoot PDU, чтобы закрыть дыры.
«Центры обработки данных — это недостаточно изученный аспект критической инфраструктуры», — сказал Куинн The Register. В то время как Trellix сосредоточился на двух широко используемых продуктах для управления питанием и электропитанием от двух производителей, есть еще множество продуктов от других поставщиков, которые стоит изучить, что делает эту область исследований «созревшей для завоевания», сказал Чик.
Как нам сообщили, оборудование DCIM от CyberPower позволяет ИТ-командам управлять инфраструктурой центров обработки данных через облако, и оно обычно используется компаниями, управляющими развертыванием локальных серверов в более крупных, совместно расположенных центрах обработки данных.
Дуэт обнаружил четыре ошибки в платформе DCIM:
Злоумышленники могли использовать любую из первых трёх CVE для обхода проверок аутентификации, получения доступа к консоли управления и отключения устройств в центрах обработки данных. Мы отмечаем, что злоумышленнику потребуется возможность подключиться к консоли.
«На самом деле это влечет за собой весьма разрушительные затраты», — сказал Куинн, ссылаясь на статистические данные Uptime Institute, согласно которым 25 процентов сбоев в работе центров обработки данных обходятся более чем в 1 миллион долларов, а 45 процентов обходятся в сумму от 100 000 до 1 миллиона долларов. «Простое выключение устройств уже оказывает большое влияние».
По мнению исследователей, выключение устройств центра обработки данных с помощью уязвимостей Dataprobe iBoot PDU также легко, если вы можете получить доступ к его интерфейсу управления.
Команда обнаружила пять ошибок в этом продукте:
«Характер уязвимостей, которые мы обнаружили в обоих продуктах, на самом деле очень и очень схож, поскольку они оба имеют веб-интерфейс управления», — сказал Чик. «Задачей номер один будет обойти аутентификацию, чтобы мы могли выполнять действия с правами администратора — этого само по себе достаточно, чтобы нанести достаточный ущерб».
Таким образом, обход аутентификации в PDU позволит злоумышленнику включать и выключать питание серверных стоек, сетевых коммутаторов или чего-либо еще, подключенного к этому устройству, добавил он.
«Но как только мы сможем обойти аутентификацию и получить доступ к этим ограниченным конечным точкам, мы сможем добиться выполнения кода в базовой операционной системе и установить вредоносное ПО», — сказал Чик.
Команда Trellix не разработала экспериментальные эксплойты, которые можно было бы, например, использовать для развертывания вредоносного ПО в центре обработки данных через вышеупомянутые дыры — это вопрос будущих исследований.
«Но именно так можно добиться таких вещей, как корпоративный шпионаж», — сказал Чик. «Вам бы хотелось установить какой-нибудь инструмент, который бы отслеживал сетевой трафик или собирал журналы, собирал учетные данные и тому подобное».
Злоумышленники могут сделать это, соединив недостатки обхода аутентификации с внедрением команд ОС, чтобы получить root-доступ к блоку питания. И оттуда они могут причинить другие беды и хаос.