根据Trellix高级研究中心的最新发现,CyberPower的数据中心基础设施管理(DCIM)平台存在4个漏洞,Dataprobe的iBoot电源分配单元(PDU)中存在5个漏洞。这些漏洞有可能削弱流行的基于云的服务。
研究人员表示,这些漏洞可以用来获取对这些系统的完全访问权限,也可以用来实施远程代码执行(RCE),以创建设备后门和进入更广泛网络的入口点。该团队补充道,这些操作非常基础,不需要什么专业知识或黑客工具,就可以在几分钟内完成。在披露之初,Trellix表示,并未发现任何恶意使用该漏洞的行为。
随着企业转向数字化转型和云服务,以支持新的工作习惯和运营效率,数据中心市场正在快速增长。麦肯锡公司的分析显示,仅在美国,到2030年数据中心需求预计将达到35吉瓦(GW,1GW=10的9次方瓦),高于2022年的17吉瓦。然而,今天的数据中心是网络犯罪分子传播恶意软件、勒索企业赎金、进行间谍活动的关键攻击载体。
远程代码执行、身份验证绕过、DoS等风险
CyberPower为计算机和服务器技术提供电源保护和管理系统。它的DCIM平台允许IT团队通过云技术管理、配置和监控数据中心内的基础设施,作为所有设备的单一信息和控制来源。
在CyberPower的DCIM中,Trellix发现了四个漏洞:
- CVE-2023-3264:使用硬编码凭证(CVSS评分6.7)。
- CVE-2023-3265:不正确地中和转义、元数据或控制序列,导致绕过身份验证(CVSS评分7.2)。
- CVE-2023-3266:不正确地实施标准的安全检查,导致绕过身份验证(CVSS评分7.5)。
- CVE-2023-3267:操作系统命令注入,导致经过身份验证的远程代码执行(CVSS评分7.5)。
Dataprobe制造电源管理产品,帮助企业监控和控制其设备。iBoot PDU允许管理员通过web应用程序远程管理其设备的电源。Trellix表示,Dataprobe在众多行业拥有数千台设备,包括部署在数据中心、旅游和交通基础设施、金融机构、智慧城市物联网安装和政府机构中的设备。
Trellix在Dataprobe的iBoot PDU中发现的五个漏洞是:
- CVE-2023-3259:反序列化不受信任的数据,导致绕过身份验证(CVSS评分9.8)。
- CVE-2023-3260:操作系统命令注入,导致经过身份验证的远程代码执行(CVSS评分7.2)。
- CVE-2023-3261:缓冲区溢出,导致拒绝服务(CVSS评分7.5)。
- CVE-2023-3262:使用硬编码凭证(CVSS评分6.7)。
- CVE-2023-3263:通过备用名称绕过认证(CVSS评分7.5)。
大规模恶意软件,数字间谍,电力中断潜在影响
研究人员表示,攻击者可以利用数据中心部署中的此类漏洞,大规模地散布恶意软件,进行数字间谍活动,并彻底摧毁电力。使用这些平台在数据中心设备上创建后门,为恶意行为者提供了一个立足点,可以危害大量系统和设备。根据Trellix的说法,“一些数据中心承载着数千台服务器,并连接到数百种不同的业务应用程序。恶意攻击者可能会慢慢破坏数据中心和与之相连的业务网络。如此大规模的设备上的恶意软件可能会被用来进行大规模的勒索攻击、DDoS攻击或wiper攻击,这可能比SuxNet、Mirai僵尸网络或WannaCry的攻击范围更广。”
此外,国家行为体和其他高级持续威胁(APT)行为者也可以利用这些漏洞进行网络间谍攻击。如果安装在全球数据中心的间谍软件被用于网络间谍活动,向外国国家通报敏感信息,那么2018年对数据中心间谍芯片的担忧将成为数字现实。
研究人员指出,“网站、业务应用程序、消费者技术和关键基础设施部署都依赖于这些数据中心的运行。威胁行为者可以通过在数十个受感染的数据中心中简单地‘拨动开关’,便一次关闭所有这些数据中心数天。此外,对电源管理的操纵还可以用来破坏硬件设备本身,使其效率大大降低,甚至无法操作。”
检查网络曝光,安装最新固件
Dataprobe和CyberPower都发布了针对这些漏洞的修复程序。Trellix表示,“我们强烈敦促所有可能受到影响的客户立即下载并安装这些补丁。”除了官方补丁之外,研究人员还建议对任何可能暴露于零日漏洞利用的脆弱设备或平台采取额外措施。
- 确保PowerPanel Enterprise或iBoot PDU没有暴露在更广泛的互联网上。每一个都应该只能从组织的安全内部网中访问。就iBoot PDU而言,Trellix建议禁用通过Dataprobe的云服务进行远程访问,作为额外的预防措施。
- 修改与所有用户帐户关联的密码,并撤销存储在两个设备上的任何可能已泄露的敏感信息。
- 更新到最新版本的PowerPanel Enterprise或为iBoot PDU安装最新固件,并订阅相关供应商的安全更新通知。