Las fallas en el suministro de energía pueden aprovecharse para apagar los centros de datos • The Register

DEF CON Sería relativamente fácil para los malhechores entrar en los equipos críticos de administración de energía del centro de datos, cortar el suministro de electricidad a múltiples dispositivos conectados e interrumpir todo tipo de servicios, desde infraestructura crítica hasta aplicaciones comerciales, todo con solo presionar un botón.

Esta afirmación fue hecha por los investigadores de seguridad de Trellix, Sam Quinn y Jesse Chick, quienes encontraron nueve errores en PowerPanel Enterprise DCIM de CyberPower y cinco vulnerabilidades en la Unidad de distribución de energía (PDU) iBoot de Dataprobe, y detallaron sus vulnerabilidades en DEF CON 31 hoy.

En su charla, y en la investigación que la acompañó, mostraron cómo los intrusos de la red podían cortar la electricidad a los equipos del centro de datos (servidores, conmutadores y similares) conectados a dispositivos vulnerables de administración de energía.

O, dijeron a The Register, los delincuentes podrían encadenar estas vulnerabilidades para hacer algo un poco más sigiloso y de largo plazo, como abrir puertas traseras en el equipo de suministro e implementar software espía o algún tipo de malware destructivo.

Ambos proveedores, CyberPower y Dataprobe, publicaron correcciones para abordar las fallas en el período previo a DEF CON y después de trabajar con los investigadores. Los usuarios pueden actualizar a CyberPower DCIM versión 2.6.9 de su software PowerPanel Enterprise y a la última versión 1.44.08042023 [imagen de firmware] del firmware de Dataprobe iBoot PDU para tapar los agujeros.

"Los centros de datos son un aspecto poco investigado de la infraestructura crítica", dijo Quinn a The Register. Si bien Trellix se centró en dos productos de suministro y administración de energía de uso común de dos fabricantes, hay muchas más cajas de otros proveedores para explorar, lo que hace que esta área de investigación esté "lista para la conquista", dijo Chick.

El equipo DCIM de CyberPower permite a los equipos de TI administrar la infraestructura del centro de datos a través de la nube, y se nos dice que lo utilizan comúnmente las empresas que administran implementaciones de servidores locales en centros de datos más grandes y ubicados en el mismo lugar.

El dúo encontró cuatro errores en la plataforma DCIM:

Los malhechores podrían utilizar cualquiera de los tres primeros CVE para eludir las comprobaciones de autenticación, obtener acceso a la consola de administración y apagar dispositivos dentro de los centros de datos. Un malhechor tendría que poder conectarse a la consola, señalamos.

"Eso en realidad tiene un costo bastante devastador", dijo Quinn, citando estadísticas del Uptime Institute que encontraron que el 25 por ciento de las interrupciones de los centros de datos cuestan más de $1 millón, mientras que el 45 por ciento cuesta entre $100,000 y $1 millón. "Simplemente apagar los dispositivos tiene un gran impacto".

Según los investigadores, apagar los dispositivos del centro de datos a través de las vulnerabilidades de Dataprobe iBoot PDU es igualmente fácil, siempre que se pueda acceder a su interfaz de administración.

El equipo encontró cinco errores en este producto:

"El carácter de las vulnerabilidades que encontramos en ambos productos fue en realidad muy, muy similar ya que ambos tienen esta interfaz de administración basada en web", dijo Chick. "La tarea número uno sería evitar la autenticación de modo que podamos llevar a cabo acciones con privilegios de administrador; eso en sí mismo es suficiente para causar una cantidad suficiente de daño".

Como tal, eludir la autenticación en la PDU permitiría a un malhechor encender y apagar los racks de servidores, conmutadores de red o cualquier otra cosa conectada a ese dispositivo, añadió.

"Pero una vez que somos capaces de eludir la autenticación y acceder a esos puntos finales restringidos, podemos lograr la ejecución de código en el sistema operativo subyacente e instalar malware", dijo Chick.

El equipo de Trellix no ha desarrollado exploits de prueba de concepto que podrían, por ejemplo, usarse para implementar malware en un centro de datos a través de los agujeros mencionados anteriormente; eso es algo para futuras investigaciones.

"Pero así sería como se lograrían cosas como el espionaje corporativo", dijo Chick. "Querría instalar algún tipo de herramienta que monitoreara el tráfico de la red o recopilara registros, recolectara credenciales y ese tipo de cosas".

Los malhechores podrían hacer esto encadenando las fallas de omisión de autenticación con la inyección de comando del sistema operativo para obtener acceso de root en el equipo de fuente de alimentación. Y a partir de ahí, podrían causar otros males y estragos.

La PDU iBoot se puede configurar para enviar correos electrónicos a través de un servidor de correo externo. Los investigadores pudieron obtener el nombre de usuario y la contraseña del servidor SMTP de una unidad comprometida para poder conectarse ellos mismos a ese servidor de correo y enviar mensajes como el dispositivo.

"Eso abre la puerta a intentos de phishing desde cuentas de correo electrónico legítimas para esta PDU que podrían ser devastadores", dijo Quinn.

La implementación masiva de malware o el espionaje corporativo sería un poco más fácil de lograr mediante exploits de PDU, según el equipo debido a un par de diferencias clave en comparación con el DCIM.

Mientras que el DCIM se ejecuta en un servidor típico, probablemente protegido por algún tipo de antivirus, la PDU es un dispositivo integrado que ejecuta Linux. Si un atacante puede instalar malware en el sistema operativo Linux subyacente de la PDU, será más difícil (y probablemente llevará más tiempo) detectarlo.

"Eso le daría a un atacante potencial un poco de libertad para pasar a dispositivos adyacentes y recopilar más información o causar más daño a los dispositivos más allá de la PDU dentro de ese entorno de centro de datos", dijo Chick.

Hemos pedido a Dataprobe y CyberPower más comentarios. ®

Envíanos noticias