研究人員表示,這些漏洞可以用來獲取對這些系統(tǒng)的完全訪問權限,也可以用來實施遠程代碼執(zhí)行(RCE),以創(chuàng)建設備后門和進入更廣泛網絡的入口點。該團隊補充道,這些操作非常基礎,不需要什么專業(yè)知識或黑客工具,就可以在幾分鐘內完成。在披露之初,Trellix表示,并未發(fā)現任何惡意使用該漏洞的行為。
隨著企業(yè)轉向數字化轉型和云服務,以支持新的工作習慣和運營效率,數據中心市場正在快速增長。麥肯錫公司的分析顯示,僅在美國,到2030年數據中心需求預計將達到35吉瓦(GW,1GW=10的9次方瓦),高于2022年的17吉瓦。然而,今天的數據中心是網絡犯罪分子傳播惡意軟件、勒索企業(yè)贖金、進行間諜活動的關鍵攻擊載體。
遠程代碼執(zhí)行、身份驗證繞過、DoS等風險
CyberPower為計算機和服務器技術提供電源保護和管理系統(tǒng)。它的DCIM平臺允許IT團隊通過云技術管理、配置和監(jiān)控數據中心內的基礎設施,作為所有設備的單一信息和控制來源。
在CyberPower的DCIM中,Trellix發(fā)現了四個漏洞:
•CVE-2023-3264:使用硬編碼憑證(CVSS評分6.7)。
•CVE-2023-3265:不正確地中和轉義、元數據或控制序列,導致繞過身份驗證(CVSS評分7.2)。
•CVE-2023-3266:不正確地實施標準的安全檢查,導致繞過身份驗證(CVSS評分7.5)。
•CVE-2023-3267:操作系統(tǒng)命令注入,導致經過身份驗證的遠程代碼執(zhí)行(CVSS評分7.5)。
Dataprobe制造電源管理產品,幫助企業(yè)監(jiān)控和控制其設備。iBoot PDU允許管理員通過web應用程序遠程管理其設備的電源。Trellix表示,Dataprobe在眾多行業(yè)擁有數千臺設備,包括部署在數據中心、旅游和交通基礎設施、金融機構、智慧城市物聯網安裝和政府機構中的設備。
Trellix在Dataprobe的iBoot PDU中發(fā)現的五個漏洞是:
•CVE-2023-3259:反序列化不受信任的數據,導致繞過身份驗證(CVSS評分9.8)。
•CVE-2023-3260:操作系統(tǒng)命令注入,導致經過身份驗證的遠程代碼執(zhí)行(CVSS評分7.2)。
•CVE-2023-3261:緩沖區(qū)溢出,導致拒絕服務(CVSS評分7.5)。
•CVE-2023-3262:使用硬編碼憑證(CVSS評分6.7)。
•CVE-2023-3263:通過備用名稱繞過認證(CVSS評分7.5)。
大規(guī)模惡意軟件,數字間諜,電力中斷潛在影響
研究人員表示,攻擊者可以利用數據中心部署中的此類漏洞,大規(guī)模地散布惡意軟件,進行數字間諜活動,并徹底摧毀電力。使用這些平臺在數據中心設備上創(chuàng)建后門,為惡意行為者提供了一個立足點,可以危害大量系統(tǒng)和設備。根據Trellix的說法,“一些數據中心承載著數千臺服務器,并連接到數百種不同的業(yè)務應用程序。惡意攻擊者可能會慢慢破壞數據中心和與之相連的業(yè)務網絡。如此大規(guī)模的設備上的惡意軟件可能會被用來進行大規(guī)模的勒索攻擊、DDoS攻擊或wiper攻擊,這可能比SuxNet、Mirai僵尸網絡或WannaCry的攻擊范圍更廣。”
此外,國家行為體和其他高級持續(xù)威脅(APT)行為者也可以利用這些漏洞進行網絡間諜攻擊。如果安裝在全球數據中心的間諜軟件被用于網絡間諜活動,向外國國家通報敏感信息,那么2018年對數據中心間諜芯片的擔憂將成為數字現實。
研究人員指出,“網站、業(yè)務應用程序、消費者技術和關鍵基礎設施部署都依賴于這些數據中心的運行。威脅行為者可以通過在數十個受感染的數據中心中簡單地‘撥動開關’,便一次關閉所有這些數據中心數天。此外,對電源管理的操縱還可以用來破壞硬件設備本身,使其效率大大降低,甚至無法操作。”
檢查網絡曝光,安裝最新固件
Dataprobe和CyberPower都發(fā)布了針對這些漏洞的修復程序。Trellix表示,“我們強烈敦促所有可能受到影響的客戶立即下載并安裝這些補丁。”除了官方補丁之外,研究人員還建議對任何可能暴露于零日漏洞利用的脆弱設備或平臺采取額外措施。
•確保PowerPanel Enterprise或iBoot PDU沒有暴露在更廣泛的互聯網上。每一個都應該只能從組織的安全內部網中訪問。就iBoot PDU而言,Trellix建議禁用通過Dataprobe的云服務進行遠程訪問,作為額外的預防措施。
•修改與所有用戶帳戶關聯的密碼,并撤銷存儲在兩個設備上的任何可能已泄露的敏感信息。
•更新到最新版本的PowerPanel Enterprise或為iBoot PDU安裝最新固件,并訂閱相關供應商的安全更新通知。
關于企業(yè)網D1net(m.r5u5c.cn):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業(yè)網D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。