Múltiples vulnerabilidades en centros de datos podrían paralizar los servicios en la nube
Las vulnerabilidades afectan a servicios de centros de datos utilizados habitualmente por las organizaciones y podrían ser explotadas por atacantes para obtener acceso al sistema y realizar la ejecución remota de código.
Múltiples vulnerabilidades en sistemas de gestión de infraestructuras de centros de datos/unidades de distribución de energía tienen el potencial de paralizar servicios populares basados en la nube. Así se desprende de los nuevos hallazgos del Centro de Investigación Avanzada Trellix, que ha revelado cuatro vulnerabilidades en la plataforma de gestión de infraestructuras de centros de datos (DCIM) de CyberPower y cinco vulnerabilidades en la unidad de distribución de energía (PDU) iBoot de Dataprobe.
Según los investigadores, las vulnerabilidades podrían utilizarse para obtener acceso completo a estos sistemas, así como para llevar a cabo la ejecución remota de código (RCE) con el fin de crear puertas traseras en los dispositivos y un punto de entrada a la red más amplia. El equipo añadió que se trata de ataques básicos, que requieren pocos conocimientos o herramientas de pirateo y que podrían ejecutarse en cuestión de minutos. En el momento de la revelación, Trellix dijo que no había descubierto ningún uso malicioso de los exploits en la vida real. La investigación sobre las vulnerabilidades se presentó en la DEF CON de Las Vegas.
El mercado de los centros de datos está experimentando un rápido crecimiento a medida que las empresas recurren a la transformación digital y a los servicios en la nube para apoyar nuevos hábitos de trabajo y eficiencias operativas. Solo en Estados Unidos, se espera que la demanda de centros de datos alcance los 35 gigavatios (GW) en 2030, frente a los 17 GW de 2022, según un análisis de McKinsey & Company. Sin embargo, los centros de datos actuales son un vector de ataque crítico para los ciberdelincuentes que quieren difundir programas maliciosos, chantajear a las empresas para pedir rescates, llevar a cabo espionaje corporativo o extranjero, o cerrar grandes franjas de Internet.
Ejecución remota de código, elusión de autenticación, DoS entre los riesgos
CyberPower ofrece sistemas de protección y gestión de energía para tecnologías informáticas y de servidores. Su plataforma DCIM permite a los equipos de TI gestionar, configurar y supervisar la infraestructura dentro de un centro de datos a través de la nube, sirviendo como una única fuente de información y control para todos los dispositivos. "Estas plataformas son comúnmente utilizadas por las empresas que gestionan despliegues de servidores locales en centros de datos más grandes y co-localizados - como los de los principales proveedores de nube AWS, Google Cloud, Microsoft Azure, etc.", escribieron los investigadores.
Las cuatro vulnerabilidades que Trellix encontró en el DCIM de CyberPower son:
CVE-2023-3264: Uso de credenciales codificadas (CVSS 6.7).
CVE-2023-3265: Neutralización incorrecta de secuencias de escape, meta o de control (omisión de autenticación, CVSS 7.2).
CVE-2023-3266: Comprobación de seguridad implementada de forma incorrecta para el estándar (omisión de autenticación, CVSS 7.5).
CVE-2023-3267: Inyección de comandos del sistema operativo (ejecución de código remoto autenticado, CVSS 7.5).
Dataprobe fabrica productos de gestión de energía que ayudan a las empresas a supervisar y controlar sus equipos. iBoot PDU permite a los administradores gestionar de forma remota el suministro de energía a sus dispositivos y equipos a través de una aplicación web. Dataprobe tiene miles de dispositivos en numerosas industrias, incluyendo despliegues en centros de datos, infraestructura de viajes y transporte, instituciones financieras, instalaciones IoT en ciudades inteligentes y agencias gubernamentales, dijo Trellix.
Las cinco vulnerabilidades que Trellix encontró en la PDU iBoot de Dataprobe son:
CVE-2023-3259: Deserialización de datos no fiables (omisión de autenticación, CVSS 9.8).
CVE-2023-3260: Inyección de comandos del sistema operativo (RCE autenticado, CVSS 7.2).
CVE-2023-3261: Desbordamiento del búfer (DoS, CVSS 7.5).
CVE-2023-3262: Uso de credenciales codificadas (CVSS 6.7).
CVE-2023-3263: Bypass de autenticación por nombre alternativo (auth bypass, CVSS 7.5).
‘Malware’ a escala, espionaje digital y cortes de electricidad: posibles impactos
Tal y como han advertido los investigadores, los atacantes pueden explotar este tipo de vulnerabilidades en las instalaciones de los centros de datos para lanzar programas maliciosos a gran escala, llevar a cabo espionaje digital e interrumpir el suministro eléctrico. El uso de estas plataformas para crear una puerta trasera en los equipos del centro de datos proporciona a los malos actores un punto de apoyo para comprometer un gran número de sistemas y dispositivos. "Algunos centros de datos albergan miles de servidores y se conectan a cientos de aplicaciones empresariales. Los atacantes malintencionados podrían comprometer lentamente tanto el centro de datos como las redes empresariales conectadas a él". El malware a través de una escala tan enorme de dispositivos podría aprovecharse para ataques masivos de ransomware, DDoS o wiper, potencialmente incluso más extendidos que los de SuxNet, Mirai BotNet o WannaCry, relatan desde Trellix.
Además, los actores respaldados por estados-nación y otras amenazas persistentes avanzadas (APT) podrían aprovechar estos exploits para llevar a cabo ataques de ciberespionaje. "Las preocupaciones de 2018 sobre los chips espía en los centros de datos se convertirían en una realidad digital si el spyware instalado en los centros de datos de todo el mundo se aprovechara para el ciberespionaje para informar a los estados nación extranjeros de información sensible".
Incluso la capacidad de apagar el centro de datos accediendo a dichos sistemas de gestión de energía sería significativa, señalaron los investigadores. "Los sitios web, las aplicaciones empresariales, las tecnologías de consumo y los despliegues de infraestructuras críticas dependen de estos centros de datos para funcionar. Un agente de amenazas podría apagar todo eso durante días con el simple ‘toque de un interruptor’ en docenas de centros de datos comprometidos". Además, la manipulación de la gestión de la energía puede utilizarse para dañar los propios dispositivos de hardware, haciéndolos mucho menos eficaces, si no inoperables, añadieron.
Compruebe si está expuesto e instale el ‘firmware’ más reciente
Tanto Dataprobe como CyberPower han publicado correcciones para las vulnerabilidades con la versión 2.6.9 de CyberPower DCIM de su software PowerPanel Enterprise y la última versión 1.44.08042023 del firmware Dataprobe iBoot PDU. "Instamos encarecidamente a todos los clientes potencialmente afectados a que descarguen e instalen estos parches inmediatamente", dijo Trellix. Además de los parches oficiales, los investigadores recomendaron medidas adicionales para cualquier dispositivo o plataforma potencialmente expuestos a la explotación de día cero por los productos vulnerables.
Asegúrese de que PowerPanel Enterprise o iBoot PDU no están expuestos a Internet. Sólo se puede acceder a ellos desde la intranet segura de una organización. En el caso de iBoot PDU, Trellix sugirió desactivar el acceso remoto a través del servicio en la nube de Dataprobe como medida de precaución adicional.
Modifique las contraseñas asociadas a todas las cuentas de usuario y revocar cualquier información sensible almacenada en ambos dispositivos que haya podido ser filtrada. Además, actualice a la última versión de PowerPanel Enterprise o instale el firmware más reciente para la PDU iBoot y suscríbase a las notificaciones de actualizaciones de seguridad del proveedor correspondiente.
