多個數據中心漏洞可能會削弱云服務
根據Trellix高級研究中心的最新發現,CyberPower的數據中心基礎設施管理(DCIM)平臺存在4個漏洞,Dataprobe的iBoot電源分配單元(PDU)中存在5個漏洞。這些漏洞有可能削弱流行的基于云的服務。
研究人員表示,這些漏洞可以用來獲取對這些系統的完全訪問權限,也可以用來實施遠程代碼執行(RCE),以創建設備后門和進入更廣泛網絡的入口點。該團隊補充道,這些操作非常基礎,不需要什么專業知識或黑客工具,就可以在幾分鐘內完成。在披露之初,Trellix表示,并未發現任何惡意使用該漏洞的行為。
隨著企業轉向數字化轉型和云服務,以支持新的工作習慣和運營效率,數據中心市場正在快速增長。麥肯錫公司的分析顯示,僅在美國,到2030年數據中心需求預計將達到35吉瓦(GW,1GW=10的9次方瓦),高于2022年的17吉瓦。然而,今天的數據中心是網絡犯罪分子傳播惡意軟件、勒索企業贖金、進行間諜活動的關鍵攻擊載體。
遠程代碼執行、身份驗證繞過、DoS等風險
CyberPower為計算機和服務器技術提供電源保護和管理系統。它的DCIM平臺允許IT團隊通過云技術管理、配置和監控數據中心內的基礎設施,作為所有設備的單一信息和控制來源。
在CyberPower的DCIM中,Trellix發現了四個漏洞:
- CVE-2023-3264:使用硬編碼憑證(CVSS評分6.7)。
- CVE-2023-3265:不正確地中和轉義、元數據或控制序列,導致繞過身份驗證(CVSS評分7.2)。
- CVE-2023-3266:不正確地實施標準的安全檢查,導致繞過身份驗證(CVSS評分7.5)。
- CVE-2023-3267:操作系統命令注入,導致經過身份驗證的遠程代碼執行(CVSS評分7.5)。
Dataprobe制造電源管理產品,幫助企業監控和控制其設備。iBoot PDU允許管理員通過web應用程序遠程管理其設備的電源。Trellix表示,Dataprobe在眾多行業擁有數千臺設備,包括部署在數據中心、旅游和交通基礎設施、金融機構、智慧城市物聯網安裝和政府機構中的設備。
Trellix在Dataprobe的iBoot PDU中發現的五個漏洞是:
- CVE-2023-3259:反序列化不受信任的數據,導致繞過身份驗證(CVSS評分9.8)。
- CVE-2023-3260:操作系統命令注入,導致經過身份驗證的遠程代碼執行(CVSS評分7.2)。
- CVE-2023-3261:緩沖區溢出,導致拒絕服務(CVSS評分7.5)。
- CVE-2023-3262:使用硬編碼憑證(CVSS評分6.7)。
- CVE-2023-3263:通過備用名稱繞過認證(CVSS評分7.5)。
大規模惡意軟件,數字間諜,電力中斷潛在影響
研究人員表示,攻擊者可以利用數據中心部署中的此類漏洞,大規模地散布惡意軟件,進行數字間諜活動,并徹底摧毀電力。使用這些平臺在數據中心設備上創建后門,為惡意行為者提供了一個立足點,可以危害大量系統和設備。根據Trellix的說法,“一些數據中心承載著數千臺服務器,并連接到數百種不同的業務應用程序。惡意攻擊者可能會慢慢破壞數據中心和與之相連的業務網絡。如此大規模的設備上的惡意軟件可能會被用來進行大規模的勒索攻擊、DDoS攻擊或wiper攻擊,這可能比SuxNet、Mirai僵尸網絡或WannaCry的攻擊范圍更廣。”
此外,國家行為體和其他高級持續威脅(APT)行為者也可以利用這些漏洞進行網絡間諜攻擊。如果安裝在全球數據中心的間諜軟件被用于網絡間諜活動,向外國國家通報敏感信息,那么2018年對數據中心間諜芯片的擔憂將成為數字現實。
研究人員指出,“網站、業務應用程序、消費者技術和關鍵基礎設施部署都依賴于這些數據中心的運行。威脅行為者可以通過在數十個受感染的數據中心中簡單地‘撥動開關’,便一次關閉所有這些數據中心數天。此外,對電源管理的操縱還可以用來破壞硬件設備本身,使其效率大大降低,甚至無法操作。”
檢查網絡曝光,安裝最新固件
Dataprobe和CyberPower都發布了針對這些漏洞的修復程序。Trellix表示,“我們強烈敦促所有可能受到影響的客戶立即下載并安裝這些補丁。”除了官方補丁之外,研究人員還建議對任何可能暴露于零日漏洞利用的脆弱設備或平臺采取額外措施。
- 確保PowerPanel Enterprise或iBoot PDU沒有暴露在更廣泛的互聯網上。每一個都應該只能從組織的安全內部網中訪問。就iBoot PDU而言,Trellix建議禁用通過Dataprobe的云服務進行遠程訪問,作為額外的預防措施。
- 修改與所有用戶帳戶關聯的密碼,并撤銷存儲在兩個設備上的任何可能已泄露的敏感信息。
- 更新到最新版本的PowerPanel Enterprise或為iBoot PDU安裝最新固件,并訂閱相關供應商的安全更新通知。
