Falhas em dispositivos de data center podem paralisar nuvens

Views: 266
0 0
Read Time:4 Minute, 12 Second

Vulnerabilidades afetam os serviços de data center comumente usados pelas organizações e podem ser exploradas por invasores para obter acesso ao sistema

Uma série de vulnerabilidades de segurança foram descobertas na plataforma PowerPanel Enterprise Data Center Infrastructure Management (DCIM) da CyberPower e na unidade de distribuição de energia iBoot (PDU) da Dataprobe, o que fez soar o alarme para as organizações com operações críticas em provedores data center, uma vez que elas podem ser exploradas por invasores para obter acesso ao sistema e realizar a execução remota de código (RCE).

As falhas também podem ser usadas para criar backdoors em dispositivos e um ponto de entrada mais amplo às redes, de acordo com os pesquisadores de segurança da Trellix. Por ser bem básica, a execução de código requer pouca experiência do invasor ou ferramentas de hacking e pode ser executada em minutos, acrescentou a equipe da empresa de cibersegurança. No momento da divulgação, a Trellix disse que não havia descoberto nenhum uso malicioso das explorações. A pesquisa sobre as vulnerabilidades foi apresentada na Defcon, uma das maiores convenções hacker do mundo, que aconteceu até este domingo, 13, em Las Vegas, EUA.

O mercado de data centers está crescendo rapidamente à medida que as empresas se voltam para a transformação digital e serviços em nuvem para dar suporte a novos hábitos de trabalho e eficiências operacionais. Somente nos EUA, a demanda de data centers deve atingir 35 gigawatts (GW) até 2030, acima dos 17 GW registrados no ano passado, de acordo com a análise da McKinsey & Company. Nos últimos anos, os data centers se tornaram um vetor de ataque para cibercriminosos que desejam espalhar malware, chantagear empresas para obter resgate, realizar espionagem corporativa ou governamental ou fechar grandes áreas da internet.

As cinco vulnerabilidades que a Trellix encontrou no iBoot PDU da Dataprobe são:

CVE-2023-3259: Desserialização de dados não confiáveis (auth bypass, CVSS 9.8).

CVE-2023-3260: injeção de comando do sistema operacional (RCE autenticado, CVSS 7.2).

CVE-2023-3261: Estouro de buffer (DoS, CVSS 7.5).

CVE-2023-3262: Uso de credenciais codificadas (CVSS 6.7).

CVE-2023-3263: Desvio de autenticação por nome alternativo (desvio de autenticação, CVSS 7.5).

Os invasores podem explorar esses tipos de vulnerabilidades nas implantações de data center para lançar malware em grande escala, realizar espionagem digital e eliminar completamente a energia, disseram os pesquisadores. O uso dessas plataformas para criar uma backdoor no equipamento do data center fornece aos cibercriminosos um ponto de apoio para comprometer um grande número de sistemas e dispositivos. 

“Alguns data centers hospedam milhares de servidores e se conectam a centenas de aplicativos de negócios. Os invasores podem comprometer lentamente o data center e as redes de negócios conectadas a ele”, disseram os pesquisadores. 

Segundo a Trellix, o malware em uma escala tão grande de dispositivos pode ser aproveitado para ataques massivos de ransomware, ataques distribuídos de negação de seviço (DDoS) ou ataques de limpeza de dados, potencialmente ainda mais difundidos do que os dos grupos SuxNet, Mirai BotNet ou WannaCry.  O malware de limpeza de dados em vez de criptografá-los para torná-los inacessíveis, ele os apaga completamente.

Além disso, os cibercriminosos apoiados por Estados-nação e outros operadores de ameaças persistentes avançadas (APTs) podem aproveitar essas explorações para realizar ataques de espionagem cibernética. Ou mesmo desligar o data center acessando os sistemas de gerenciamento de energia, observaram os pesquisadores. “Sites, aplicativos de negócios, tecnologias de consumo e implantações de infraestrutura crítica dependem desses data centers para operar. Um operador de ameaça pode desligar tudo isso por dias seguidos com o simples ‘apertar de um botão’ em dezenas de data centers comprometidos.” A manipulação do gerenciamento de energia também pode ser usada para danificar os próprios dispositivos de hardware, tornando-os muito menos eficazes, se não inoperáveis, acrescentaram os pesquisadores.

Tanto a Dataprobe quanto a CyberPower lançaram correções para as vulnerabilidades com o CyberPower DCIM versão 2.6.9 de seu software PowerPanel Enterprise e a versão 1.44.08042023 mais recente do firmware Dataprobe iBoot PDU. “Pedimos a todos os clientes potencialmente afetados que baixem e instalem esses patches imediatamente”, disse a Trellix. Além dos patches oficiais, os pesquisadores aconselham etapas extras para quaisquer dispositivos ou plataformas potencialmente expostos à exploração de dia zero pelos produtos vulneráveis.

Certifique-se de que o PowerPanel Enterprise ou o iBoot PDU não sejam expostos à internet. Cada um deve ser acessível apenas de dentro da intranet segura de uma organização. No caso do iBoot PDU, a Trellix sugere desabilitar o acesso remoto por meio do serviço de nuvem da Dataprobe como uma precaução adicional.

Além disso, o administrador deve modificar as senhas associadas a todas as contas de usuário e revogue todas as informações confidenciais armazenadas em ambos os aparelhos que possam ter vazado, bem como atualizar para a versão mais recente do PowerPanel Enterprise ou instalar o firmware mais recente para o iBoot PDU e assinar as notificações de atualização de segurança do fornecedor.

FONTE: CISO ADVISOR

POSTS RELACIONADOS