潜伏于数据中心的威胁-电源管理软件漏洞可导致关机、恶意软件横行和隐蔽数字间谍活动

网络安全应急技术国家工程中心 2023-08-16 14:58

数据中心是为现代生活各个方面提供动力的最关键组件之一，但这些大型设施也很容易受到黑客的攻击，黑客可能会通过电源管理系统的缺陷来破坏它们。在DEF CON 2023安全会议期间，网络安全公司Trellix的研究人员披露了数据中心常用应用程序中的漏洞，这些漏洞可能使黑客能够访问敏感设施，并让他们关闭特定服务器的电源。研究人员分析了CyberPowe 的PowerPanel Enterprise数据中心电源管理软件和Dataprobe的iBoot配电单元 (PDU),总共发现了九个漏洞，其中包括允许攻击者获得对目标系统的完全访问权限的漏洞。Trellix警告，除了直接造成损坏或中断之外，黑客还可以在数据中心设备上植入后门，并利用它们来危害其他系统和设备。恶意攻击者可能会慢慢损害数据中心和与其连接的业务网络。受损的数据中心电源管理系统也可能被国家支持的威胁行为者利用来进行网络间谍活动。

关键发现

流行的数据中心管理平台中出现了严重漏洞，带来严重的安全风险。

CyberPower公司的PowerPanel Enterprise和公司Dataprobe的iBoot PDU被发现存在多个漏洞。

潜在的利用可能会导致电力中断、恶意软件部署和数字间谍活动。

供应商发布紧急修复程序，敦促受影响的客户立即修补其系统。

强调网络隔离、远程访问管理、口令更新和定期软件更新以降低风险。

Trellix研究人员在报告中指出：“单个数据中心管理平台或设备上的漏洞可能会迅速导致内部网络完全受损，并为威胁行为者提供进一步攻击任何连接的云基础设施的立足点。” “世界越来越依赖数据和支持我们互联网服务基础的数据中心基础设施。”

两空公司产品中的九个漏洞

研究人员在CyberPower公司的基础设施管理平台中发现了四个漏洞，在 Dataprobe的iBoot配电单元(PDU)中的关键漏洞的配电单元中发现了五个漏洞，这些漏洞允许远程代码注入。

PowerPanel企业数据中心基础设施管理 (DCIM) 平台中的四个漏洞：

CVE-2023-3264：使用硬编码凭据

CVE-2023-3267：操作系统命令注入（经过身份验证的RCE）

CVE-2023-3266：标准安全检查实施不当（绕过身份验证）

CVE-2023-3265：转义、元或控制序列的不正确中和（身份验证绕过）

iBoot 电源分配单元 (PDU) 还存在五个严重漏洞：

CVE-2023-3261：缓冲区溢出 (DOS)

CVE-2023-3262：使用硬编码凭据

CVE-2023-3260：操作系统命令注入（经过身份验证的RCE）

CVE-2023-3259：不受信任数据的反序列化（绕过身份验证）

CVE-2023-3263：通过备用名称绕过身份验证（身份验证绕过）

Quinn表示，他们正在寻找攻击者如何破坏复杂的数据中心，这些数据中心依赖许多不同类型的软件和复杂的供应链来为数百万客户提供服务。

CyberPower软件允许管理员通过云管理和配置数据中心的基础设施。报告指出，这种访问意味着该软件真正充当“所有设备的单一信息源和控制源”。

“而且由于它在一个Web应用程序中管理所有这些设备，因此它显然是攻击者的一个诱人目标，”Quinn说。

Trellix研究人员写道，这些平台通常被公司用于从管理本地服务器到来自亚马逊网络服务、谷歌云和微软Azure等主要云提供商的托管数据中心等各种用途。

2022年9月，就有工业网络安全公司Claroty披露了 Dataprobe的iBoot配电单元(PDU)中的七个关键漏洞。

漏洞容易利用且后果严重

这些漏洞的影响是深远的。随着数据中心成为关键服务的支柱，风险延伸到消费者和企业。利用此类漏洞可能导致以下结果：

关机：攻击者可以通过切断连接设备的电源来中断多个数据中心的运营，从而导致广泛的中断和经济损失。

大规模恶意软件：受损的数据中心设备可以作为大规模勒索软件，DDoS或擦除器攻击的启动板，可能超过StuxNet和WannaCry等臭名昭著的事件。

数字间谍：民族国家行为者和高级持续性威胁（APT）可以利用这些漏洞进行网络间谍活动，从而可能将敏感信息暴露给外国政府。

值得注意的是，Trellix研究人员于8月12日在拉斯维加斯黑帽安全会议上展示了他们的发现。CyberPower和Dataprobe都在DEF CON演示之前修补了这些漏洞。

幸运的是，这些漏洞在被威胁参与者利用之前就被发现了，从而最大限度地降低了恶意利用的风险。尽管如此，数据中心仍然是网络犯罪分子的有吸引力的目标，因为它们具有广泛的攻击面和广泛的影响潜力。

研究者Quinn强调说，利用该软件中发现的多个漏洞，研究人员绕过了身份验证，从而允许他们查看和配置该网络上的设备。通过最初访问该软件，黑客可以转向配电装置，这些装置本质上是监控能源使用情况的智能配电盘。因此，打开和关闭电源，都是轻而易举的事情。当然，除了关闭电源之外，黑客还可以利用该访问权限安装恶意软件并与潜在的数百家企业建立连接。

缓解和未来备灾战略

尽管两家涉及的公司均已发布了补丁，但Trellix公司仍然强烈建议受影响的客户立即实施这些补丁并采取额外的预防措施：

网络隔离：确保数据中心管理平台只能在安全的内联网内访问，从而保护它们免受更广泛的互联网暴露。

远程访问管理：在不需要时禁用对设备和平台的远程访问，减少潜在的攻击媒介。

口令管理：更新与易受攻击的系统关联的用户帐户的口令，并撤销任何已泄露的凭据。

定期更新：通过及时应用最新的软件和固件更新来保持警惕，以减少未来漏洞的风险。

这一研究成果再次凸显了数据中心在现代网络基础设施运营中发挥的关键作用以及加强防御的迫切需要。通过与供应商合作、及时解决漏洞并采用最佳实践，切实提升数字生态系统的安全性和弹性。

参考资源：

1.https://cyberscoop.com/def-con-data-center-vulnerability/

2.https://www.hackread.com/data-center-disruption-espionage-malware-attacks/

3.https://www.trellix.com/en-us/about/newsroom/stories/research/the-threat-lurking-in-data-centers.html

原文来源：网空闲话plus

“投稿联系方式：孙中豪 010-82992251   [email protected]”