Over 20.000 datacentre og deres styringssystemer kan hackes

Researchere har fundet over 20.000 tilfælde af offentligt eksponeret datacenter-infrastruktur og management software (DCIM), der overvåger enheder, HVAC-styresystemer, og magt distributionsenheder, som kan bruges til en række katastrofale angreb.

Datacentre huser dyre systemer, der understøtter forretningslagringsløsninger, operationelle systemer, hosting af websteder, databehandling og meget mere.

De bygninger, der er vært for datacentre, skal overholde strenge sikkerhedsbestemmelser vedrørende brandbeskyttelse, luftstrøm, el og fysisk sikkerhed.

År med at forfølge operationel effektivitet har indført “lights-out” datacentre, som er fuldautomatiske faciliteter, der administreres eksternt og generelt fungerer uden personale.

Konfigurationen af disse systemer er dog ikke altid korrekt. Som et resultat, mens serverne selv kan være tilstrækkeligt beskyttet mod fysisk adgang, de systemer, der sikrer fysisk beskyttelse og optimal ydeevne undertiden ikke.

Flere tilfælde af ubeskyttede systemer

Analytikkere på Cyble har fundet over 20.000 tilfælde af offentligt eksponerede DCIM-systemer, herunder termiske og kølende styringsdashboards, fugtighedscontrollere, UPS-controllere, rackmonitorer og overførselsafbrydere.

Derudover var analytikerne i stand til at udtrække adgangskoder fra dashboards, som de derefter brugte til at få adgang til faktiske databaseforekomster, der var gemt på datacentret.

Potentiel indvirkning

At udsætte disse systemer uden tilstrækkelig beskyttelse betyder, at alle kan ændre temperatur- og fugtighedstærsklerne, konfigurere spændingsparametre til farlige niveauer, deaktivere køleenheder, slukke konsoller, sætte UPS-enheder på slumre, oprette falske alarmer eller ændre backup tidsintervaller.

Et eksempel på dette er en brandhændelse i det Strasbourg-baserede OVH-datacenter i marts 2021 som følge af en fejl i en af bygningens UPS-enheder (uninterruptible power supply).

Selvom denne forekomst ikke var resultatet af hacking, illustrerer den omfanget af den skade, som sådanne angreb kan forårsage for tjenesteudbydere og deres kunder.

Branden fortærede tusindvis af servere, uopretteligt udslettede data og forårsagede serviceforstyrrelser af spilservere, kryptovalutabørser, telekommunikationsfirmaer, nyhedskanaler og meget mere.

Selvom der ikke sker fysisk skade, kan modstandere bruge deres adgang til DCIM-systemer til at udfiltrere data eller låse de rigtige administratorer ud og til sidst afpresse datacenterejeren.

Konsekvenserne er under alle omstændigheder dystre, og lukningen af disse smuthuller bør være en prioritet. På den front har Cyble informeret CERT’erne om hvert land, hvor de eksponerede systemer var placeret.

Over 20.000 ILO-grænseflader eksponeret

Ud over disse udsatte DCIM-tilfælde, har sikkerhedsforsker og ISC Handler Jan Kopriva fundet over 20.000 servere med udsatte ILO-management grænseflader.

HPE Integrated Lights-Out -administrationsgrænseflader (iLO) bruges til at give fjernadgang på lavt niveau til en server, så administratorer kan slukke, slukke, tænde, genstarte og administrere servere, som om de var fysisk foran dem. Men hvis ikke korrekt sikret, trussel aktører vil nu have fuld adgang til servere på en pre-boot niveau, så de kan ændre operativsystemet eller endda hardware indstillinger.

Ligesom DCIM-grænseflader, er det afgørende at sikre ILO grænseflader korrekt og ikke udsætte dem direkte til internettet for at beskytte dem mod fjernudnyttelse af sårbarheder og password brute force angreb.

Kilde: BleepingComputers

Scroll til toppen