Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonDes failles d'alimentation électrique peuvent être exploitées pour fermer les centres de données. • The Register
DEF CON Il serait relativement facile pour des malfaiteurs de s'introduire dans les équipements critiques de gestion de l'alimentation d'un centre de données, de couper l'alimentation électrique de plusieurs appareils connectés et de perturber toutes sortes de services, des infrastructures critiques aux applications professionnelles, le tout en appuyant simplement sur un bouton.
Cette affirmation a été faite par les chercheurs en sécurité de Trellix, Sam Quinn et Jesse Chick, qui ont trouvé neuf bogues dans le PowerPanel Enterprise DCIM de CyberPower et cinq vulnérabilités dans l'unité de distribution d'énergie (PDU) iBoot de Dataprobe, et ont détaillé leurs exploits lors de la DEF CON 31 aujourd'hui.
Dans leur exposé et dans les recherches qui l'accompagnent, ils ont montré comment des intrus dans le réseau pouvaient couper l'électricité des équipements de centres de données (serveurs, commutateurs, etc.) connectés à des dispositifs de gestion d'énergie vulnérables.
Ou bien, ont-ils déclaré à The Register, les criminels pourraient enchaîner ces vulnérabilités pour faire quelque chose d'un peu plus furtif et de longue durée, comme ouvrir des portes dérobées sur l'équipement d'approvisionnement et déployer des logiciels espions ou un type de malware destructeur.
Les deux fournisseurs, CyberPower et Dataprobe, ont publié des correctifs pour corriger les failles avant DEF CON et après avoir travaillé avec les chercheurs. Les utilisateurs peuvent mettre à jour vers CyberPower DCIM la version 2.6.9 de leur logiciel PowerPanel Enterprise et la dernière version 1.44.08042023 [image du micrologiciel] du micrologiciel Dataprobe iBoot PDU pour boucher les trous.
"Les centres de données constituent un aspect sous-étudié des infrastructures critiques", a déclaré Quinn au Register. Alors que Trellix s'est concentré sur deux produits de gestion et d'alimentation d'énergie couramment utilisés par deux fabricants, il existe de nombreux autres boîtiers d'autres fournisseurs à explorer, ce qui rend ce domaine de recherche « mûr pour la conquête », a déclaré Chick.
L'équipement DCIM de CyberPower permet aux équipes informatiques de gérer l'infrastructure des centres de données via le cloud, et il est couramment utilisé par les entreprises qui gèrent des déploiements de serveurs sur site dans des centres de données plus grands et colocalisés, nous dit-on.
Le duo a trouvé quatre bugs dans la plateforme DCIM :
Les malfaiteurs pourraient utiliser l'un des trois premiers CVE pour contourner les contrôles d'authentification, accéder à la console de gestion et arrêter les appareils dans les centres de données. Il faudrait qu’un mécréant puisse se connecter à la console, note-t-on.
"Cela a en fait un coût assez dévastateur", a déclaré Quinn, citant les statistiques de l'Uptime Institute selon lesquelles 25 pour cent des pannes de centres de données coûtent plus d'un million de dollars, tandis que 45 pour cent coûtent entre 100 000 et 1 million de dollars. "Le simple fait d'éteindre les appareils a un impact considérable."
Selon les chercheurs, l'arrêt des appareils du centre de données via les vulnérabilités Dataprobe iBoot PDU est tout aussi simple, à condition que vous puissiez accéder à son interface de gestion.
L'équipe a trouvé cinq bugs dans ce produit :
"La nature des vulnérabilités que nous avons trouvées dans les deux produits était en réalité très, très similaire puisqu'ils disposent tous deux d'une interface de gestion basée sur le Web", a déclaré Chick. "La tâche numéro un serait de contourner l'authentification afin que nous puissions effectuer des actions avec des privilèges d'administrateur - cela en soi est suffisant pour causer suffisamment de dégâts."
En tant que tel, contourner l'authentification dans la PDU permettrait à un malfaiteur d'allumer et d'éteindre les racks de serveurs, les commutateurs réseau ou tout autre élément connecté à cet appareil, a-t-il ajouté.
"Mais une fois que nous sommes capables de contourner l'authentification et d'accéder à ces points de terminaison restreints, nous pouvons exécuter du code sur le système d'exploitation sous-jacent et installer des logiciels malveillants", a déclaré Chick.
L'équipe Trellix n'a pas développé d'exploits de validation de principe qui pourraient, par exemple, être utilisés pour déployer des logiciels malveillants dans un centre de données via les failles ci-dessus – cela fera l'objet de recherches futures.
"Mais c'est ainsi que vous réaliseriez des choses comme l'espionnage industriel", a déclaré Chick. "Vous voudriez installer une sorte d'outil qui surveillerait le trafic réseau ou, ou collecterait des journaux, récolterait des informations d'identification, et ce genre de choses."
Les mécréants pourraient le faire en enchaînant les failles de contournement d’authentification avec l’injection de commandes du système d’exploitation pour obtenir un accès root sur l’équipement d’alimentation. Et à partir de là, ils pourraient causer d’autres méfaits et ravages.