Trellix encontrou vulnerabilidades em duas plataformas de data center e explica como elas poderiam ter sido aproveitadas por hackers.
O mundo tornou-se cada vez mais dependente de dados e da infraestrutura de data centers, que oferecem suporte à toda a base dos serviços de Internet. Tanto os servidores locais, quanto os data centers operados pela Amazon, Google, Microsoft ou outras grandes empresas podem ser um vetor de ataque crítico para cibercriminosos que desejam espalhar malware, sequestrar dados, fazer espionagem estrangeira, ou simplesmente desligar grandes áreas da Internet.
De acordo com dados do Trellix Advanced Research Center, ao menos quatro vulnerabilidades foram encontradas na plataforma de Data Center Infrastructure Management (DCIM) da CyberPower e outras cinco vulnerabilidades na unidade de distribuição de energia iBoot (PDU) da Dataprobe.
Um invasor pode encadear essas vulnerabilidades para obter acesso total a esses sistemas – o que por si só pode ser aproveitado para causar danos substanciais. Além disso, ambos os produtos são vulneráveis à injeção remota de código, método que pode ser aproveitado para criar um backdoor ou um ponto de entrada para a rede mais ampla de dispositivos de data center conectados e sistemas corporativos.
Segundo o Trellix, não foi detectado nenhum uso malicioso das vulnerabilidades encontradas. No entanto, os data centers são alvos atraentes para cibercriminosos devido ao número de vetores de ataque e à capacidade de escalar seus ataques depois que uma brecha foi encontrada.
Exemplos de ataques
Abaixo, estão alguns exemplos dos danos que um cibercriminoso pode causar ao utilizar explorações desse nível em data centers:
Desligamento: por meio do acesso a esses sistemas de gerenciamento de energia, até mesmo o simples ato de cortar a energia de dispositivos conectados a uma PDU seria significativo. Sites, aplicativos de negócios, tecnologias de consumo e implantações de infraestrutura crítica dependem da disponibilidade desses data centers para operar. Um cibercriminoso pode causar interrupções significativas por dias seguidos com o simples “aperto de um botão” em dezenas de data centers comprometidos.
Além disso, a manipulação do gerenciamento de energia pode ser usada para danificar os próprios dispositivos de hardware – tornando-os muito menos eficazes, se não inoperáveis. Dados do Uptime Institute mostram que os custos de interrupções de data center estão aumentando. Hoje, 25% das interrupções custam mais de US$ 1 milhão e 45% custam entre US$ 100.000 e US$ 1 milhão. Isso se traduz em milhares ou dezenas de milhares de dólares perdidos a cada minuto para uma empresa cujo data center não tem energia.
Malware em escala: Usar essas plataformas para criar um backdoor no equipamento do data center fornece aos cibercriminosos uma porta de entrada para comprometer um grande número de sistemas e dispositivos. Alguns data centers hospedam milhares de servidores e se conectam a centenas de vários aplicativos de negócios. Os cibercriminosos podem comprometer lentamente o data center e as redes de negócios conectadas a ele.
O malware em uma escala tão grande de dispositivos pode ser aproveitado para ataques maciços de ransomware, DDoS ou Wiper – potencialmente ainda mais difundidos do que os de StuxNet, Mirai BotNet ou WannaCry.
Espionagem digital: além das atividades maliciosas executadas por cibercriminosos mencionadas anteriormente, APTs e cibercriminosos apoiados por estados-nação poderiam aproveitar esses exploits para conduzir ataques de espionagem cibernética.
As preocupações de 2018 sobre chips espiões em data centers se tornariam uma realidade digital se o spyware instalado em data centers em todo o mundo fosse usado para espionagem cibernética para fornecer informações confidenciais para estados-nação estrangeiros.
FONTE: IP NEWS