Fehler in der Stromversorgung können ausgenutzt werden, um Rechenzentren abzuschalten • The Register
DEF CON Es wäre für Kriminelle relativ einfach, in kritische Energieverwaltungsgeräte von Rechenzentren einzudringen, die Stromversorgung mehrerer angeschlossener Geräte zu unterbrechen und alle Arten von Diensten zu stören – von kritischer Infrastruktur bis hin zu Geschäftsanwendungen – und das alles auf Knopfdruck.
Diese Behauptung wurde von den Trellix-Sicherheitsforschern Sam Quinn und Jesse Chick aufgestellt, die neun Fehler im PowerPanel Enterprise DCIM von CyberPower und fünf Schwachstellen in der iBoot Power Distribution Unit (PDU) von Dataprobe fanden und ihre Exploits heute auf der DEF CON 31 detailliert beschrieben haben.
In ihrem Vortrag und der begleitenden Forschung zeigten sie, wie Netzwerkeindringlinge den Strom für Rechenzentrumsgeräte – Server, Switches und dergleichen – unterbrechen können, die an anfällige Energieverwaltungsgeräte angeschlossen sind.
Sie sagten gegenüber The Register, dass Kriminelle diese Schwachstellen auch miteinander verketten könnten, um etwas Heimlicheres und Langwierigeres zu tun, etwa Hintertüren an der Versorgungsausrüstung zu öffnen und Spyware oder irgendeine Art zerstörerischer Malware einzusetzen.
Beide Anbieter, CyberPower und Dataprobe, haben im Vorfeld von DEF CON und nach Zusammenarbeit mit den Forschern Korrekturen veröffentlicht, um die Fehler zu beheben. Benutzer können auf CyberPower DCIM Version 2.6.9 ihrer PowerPanel Enterprise-Software und die neueste Version 1.44.08042023 [Firmware-Image] der Dataprobe iBoot PDU-Firmware aktualisieren, um die Lücken zu schließen.
„Rechenzentren sind ein wenig erforschter Aspekt kritischer Infrastruktur“, sagte Quinn gegenüber The Register. Während sich Trellix auf zwei häufig verwendete Energiemanagement- und Versorgungsprodukte von zwei Herstellern konzentrierte, gibt es noch viel mehr Boxen anderer Anbieter zu erkunden, was diesen Forschungsbereich „reif für die Eroberung“ macht, sagte Chick.
Die DCIM-Ausrüstung von CyberPower ermöglicht es IT-Teams, die Infrastruktur von Rechenzentren über die Cloud zu verwalten, und sie wird häufig von Unternehmen verwendet, die lokale Serverbereitstellungen in größeren, am gleichen Standort befindlichen Rechenzentren verwalten, wie wir erfahren haben.
Das Duo fand vier Fehler in der DCIM-Plattform:
Kriminelle könnten jedes der ersten drei CVEs nutzen, um Authentifizierungsprüfungen zu umgehen, Zugriff auf die Verwaltungskonsole zu erhalten und Geräte in Rechenzentren herunterzufahren. Wir stellen fest, dass ein Schurke in der Lage sein müsste, eine Verbindung zur Konsole herzustellen.
„Das ist tatsächlich mit verheerenden Kosten verbunden“, sagte Quinn und zitierte Statistiken des Uptime Institute, wonach 25 Prozent der Ausfälle von Rechenzentren mehr als 1 Million US-Dollar kosten, während 45 Prozent zwischen 100.000 und 1 Million US-Dollar kosten. „Das einfache Ausschalten von Geräten hat schon eine große Auswirkung.“
Den Forschern zufolge ist das Herunterfahren von Rechenzentrumsgeräten über die Dataprobe iBoot PDU-Schwachstellen ähnlich einfach, vorausgesetzt, man kann auf die Verwaltungsschnittstelle zugreifen.
Das Team hat fünf Fehler in diesem Produkt gefunden:
„Der Charakter der Schwachstellen, die wir in beiden Produkten gefunden haben, war tatsächlich sehr, sehr ähnlich, da beide über diese webbasierte Verwaltungsoberfläche verfügen“, sagte Chick. „Die Aufgabe Nummer eins wäre, die Authentifizierung zu umgehen, damit wir Aktionen mit Administratorrechten ausführen können – das allein reicht aus, um ausreichend Schaden anzurichten.“
Daher würde die Umgehung der Authentifizierung in der PDU es einem Täter ermöglichen, Server-Racks, Netzwerk-Switches oder alles andere, was mit diesem Gerät verbunden ist, ein- und auszuschalten, fügte er hinzu.
„Aber sobald wir in der Lage sind, die Authentifizierung zu umgehen und auf diese eingeschränkten Endpunkte zuzugreifen, können wir Code auf dem zugrunde liegenden Betriebssystem ausführen und Malware installieren“, sagte Chick.
Das Trellix-Team hat keine Proof-of-Concept-Exploits entwickelt, die beispielsweise dazu verwendet werden könnten, über die oben genannten Lücken Malware in einem Rechenzentrum zu verbreiten – das ist etwas für zukünftige Forschung.
„Aber so würde man Dinge wie Unternehmensspionage erreichen“, sagte Chick. „Sie möchten eine Art Tool installieren, das den Netzwerkverkehr überwacht oder Protokolle sammelt, Anmeldeinformationen sammelt und dergleichen.“
Kriminelle könnten dies tun, indem sie die Authentifizierungsumgehungsfehler mit der Befehlsinjektion des Betriebssystems verknüpfen, um Root-Zugriff auf das Netzteil zu erhalten. Und von dort aus könnten sie weiteres Unheil und Chaos anrichten.
Die iBoot PDU kann so konfiguriert werden, dass E-Mails über einen externen Mailserver gesendet werden. Den Forschern gelang es, den Benutzernamen und das Passwort des SMTP-Servers eines kompromittierten Geräts zu erhalten, sodass sie selbst eine Verbindung zu diesem Mailserver herstellen und als Gerät Nachrichten senden konnten.
„Das öffnet die Tür für Phishing-Versuche von legitimen E-Mail-Konten für diese PDU, die verheerende Folgen haben könnten“, sagte Quinn.
Laut dem Team wäre der Masseneinsatz von Malware oder Unternehmensspionage über PDU-Exploits etwas einfacher durchzuführen, da es im Vergleich zum DCIM einige wesentliche Unterschiede gibt.
Während das DCIM auf einem typischen Server läuft, der wahrscheinlich durch eine Art Antivirenprogramm geschützt ist, ist die PDU ein eingebettetes Gerät, auf dem Linux läuft. Wenn es einem Angreifer gelingt, Malware auf dem zugrunde liegenden Linux-Betriebssystem der PDU zu installieren, wird es schwieriger – und wahrscheinlich länger dauern –, diese zu erkennen.
„Das würde einem potenziellen Angreifer den nötigen Spielraum geben, auf benachbarte Geräte auszuweichen und mehr Informationen zu sammeln oder mehr Schaden an Geräten als nur an PDUs in dieser Rechenzentrumsumgebung anzurichten“, sagte Chick.
Wir haben Dataprobe und CyberPower um weitere Kommentare gebeten. ®
Senden Sie uns Neuigkeiten
1414Holen Sie sich unser14