RCE, Auth Bypass und DoS: Schwachstellen in Rechenzentren könnten Cloud-Dienste lahmlegen

Foto: Gorodenkoff – shutterstock.com

Das Trellix Advanced Research Center hat vier Sicherheitslücken in der DCIM-Plattform (Data Center Infrastructure Management) von CyberPower und fünf in der iBoot Power Distribution Unit (PDU) von Dataprobe aufgedeckt. Den Forschern zufolge können Angreifer diese Lücken nutzen, um vollständigen Zugriff auf diese Systeme zu erlangen und Remote Code Execution (RCE) durchzuführen. Dabei könnten sie sich Geräte-Backdoors schaffen und so Zugang zu einem breiteren Netzwerk erhalten.

“Der Missbrauch dieser Schwachstellen ist einfach. Dazu braucht es kaum Fachwissen oder Hacking-Tools und sie können innerhalb von Minuten ausgeführt werden”, so das Team weiter. Zum Zeitpunkt der Veröffentlichung erklärte Trellix, man habe bisher keine böswillige Nutzung der Schwachstellen in freier Wildbahn entdeckt.

Der Markt für Rechenzentren verzeichnet ein schnelles Wachstum, da Unternehmen ihre digitale Transformation mit Cloud-Diensten forcieren, um neue Arbeitsmodelle einzuführen und ihre betriebliche Effizienz zu verbessern. Laut einer Analyse von McKinsey & Company wird der Bedarf an Data-Center-Ressourcen allein in den USA bis 2030 voraussichtlich mehr als verdoppeln. Die Kehrseite der Medaille: Heutige Rechenzentren sind ein kritischer Angriffsvektor für Cyberkriminelle, die Malware verbreiten, Lösegeld erpressen, Unternehmens- oder Auslandsspionage betreiben oder große Teile des Internets lahmlegen wollen.

Lesetipp: Die größten Bedrohungen für Cloud-Systeme

Die Schwachstellen im Überblick

CyberPower bietet Stromversorgungsschutz- und Managementsysteme für Computer- und Servertechnologien. Seine DCIM-Plattform ermöglicht es IT-Teams, die Infrastruktur in einem Rechenzentrum über die Cloud zu verwalten, zu konfigurieren und zu überwachen. Dabei dient die Plattform als zentrale Informations- und Kontrollquelle für alle Geräte. “Diese Plattformen werden häufig von Unternehmen verwendet, die Server-Implementierungen vor Ort in größeren, gemeinsam genutzten Rechenzentren verwalten – wie denen der großen Cloud-Anbieter AWS, Google Cloud und Microsoft Azure”, schreiben die Trellix-Forscher.

Die vier Schwachstellen, die Trellix in CyberPowers DCIM gefunden hat, sind:

• CVE-2023-3264: Verwendung von hartcodierten Anmeldeinformationen (CVSS 6.7).

• CVE-2023-3265: Unsachgemäße Neutralisierung von Escape-, Meta- oder Steuersequenzen (Auth-Bypass, CVSS 7.2).

• CVE-2023-3266: Unsachgemäß implementierte Sicherheitsüberprüfung für den Standard (Umgehung der Autorisierung, CVSS 7.5).

• CVE-2023-3267: OS-Befehlsinjektion (authentifizierte Remotecodeausführung, CVSS 7.5).

Dataprobe stellt Stromverwaltungsprodukte her, die Unternehmen bei der Überwachung und Steuerung ihrer Geräte unterstützen. iBoot PDU ermöglicht es Administratoren, die Stromversorgung ihrerAnlagen über eine Webanwendung aus der Ferne zu verwalten. Nach Angaben von Trellix hat Dataprobe Tausende von Geräten in zahlreichen Branchen im Einsatz, darunter Rechenzentren, Reise- und Transportinfrastrukturen, Finanzinstitute, IoT-Installationen in intelligenten Städten und Regierungsbehörden.

Die fünf Schwachstellen, die Trellix in der iBoot PDU von Dataprobe gefunden hat, sind:

• CVE-2023-3259: Deserialisierung von nicht vertrauenswürdigen Daten (Umgehung der Autorisierung, CVSS 9.8).

• CVE-2023-3260: Einschleusen von OS-Befehlen (authentifizierter RCE, CVSS 7.2).

• CVE-2023-3261: Pufferüberlauf (DoS, CVSS 7.5).

• CVE-2023-3262: Verwendung von hartkodierten Anmeldeinformationen (CVSS 6.7).

• CVE-2023-3263: Umgehung der Authentifizierung durch einen alternativen Namen (auth bypass, CVSS 7.5).

Malware in großem Umfang, digitale Spionage und Stromausfälle als mögliche Folgen

Angreifer können diese Art von Schwachstellen in Rechenzentren ausnutzen, um Malware in großem Stil zu verbreiten, digitale Spionage zu betreiben und die Stromversorgung komplett auszuschalten, warnen die Forscher. Über die Schwachstellen könnten sichHacker Hintertüren zu Rechenzentren bauen, um so eine große Anzahl von Systemen und Geräten zu kompromittieren.

Einige Rechenzentren beherbergen Tausende von Servern und sind mit Hunderten von verschiedenen Geschäftsanwendungen verbunden. Böswillige Angreifer könnten nach und nach sowohl das Rechenzentrum als auch die damit verbundenen Unternehmensnetzwerke infiltrieren.

Die Sicherheitsforscher gehen davon aus, dass Malware auf einer solch großen Anzahl von Geräten für massive Ransomware-, DDoS- oder Wiper-Angriffe genutzt werden könnte – möglicherweise sogar in einem größeren Ausmaß als bei StuxNet, Mirai BotNet oder WannaCry.

Darüber hinaus könnten staatlich unterstützte und andere Advanced Persistent Threat (APT)-Akteure diese Exploits nutzen, um Cyberspionage-Angriffe durchzuführen. “Die 2018 geäußerten Befürchtungen, dass Spionagechips in Rechenzentren eingesetzt werden könnten, würden zur digitalen Realität. Die weltweit in Rechenzentren installierte Spionagesoftware könnte für Cyberspionage genutzt werden, um feindlich gesinnten Staaten sensible Informationen zuzuspielen.”

Selbst die Möglichkeit, das Rechenzentrum durch Zugriff auf solche Energieverwaltungssysteme abzuschalten, wäre im Bereich des Möglichen, so die Forscher. “Websites, Geschäftsanwendungen und kritische Infrastrukturen sind allesamt auf den Betrieb dieser Rechenzentren angewiesen. Ein Bedrohungsakteur könnte all dies mit dem einfachen Umlegen eines Schalters in Dutzenden von kompromittierten Rechenzentren tagelang lahmlegen.”

Darüber hinaus könnte die Energieverwaltung manipuliert werden, um die Hardware-Geräte selbst zu beschädigen, fügten die Analysten hinzu. Diese könnten dann weniger effektiv oder gar nicht mehr funktionsfähig sein.

Das sollten betroffene Kunden jetzt beachten

Sowohl Dataprobe als auch CyberPower haben Patches für die Schwachstellen mit der CyberPower DCIM Version 2.6.9 ihrer PowerPanel Enterprise Software und der neuesten Version 1.44.08042023 der Dataprobe iBoot PDU Firmware veröffentlicht. “Wir raten allen potenziell betroffenen Kunden dringend, diese Patches sofort herunterzuladen und zu installieren”, so Trellix. Zusätzlich zu den offiziellen Patches raten die Forscher zu zusätzlichen Maßnahmen für alle Geräte oder Plattformen, die potenziell für eine Zero-Day-Nutzung durch die besagten Produkte anfällig sind.

Stellen Sie sicher, dass PowerPanel Enterprise oder iBoot PDU nicht mit dem Internet verbunden sind. Beide sollten nur über das abgesicherte Intranet eines Unternehmens erreichbar sein. Im Falle der iBoot PDU schlägt Trellix vor, als zusätzliche Vorsichtsmaßnahme den Fernzugriff über den Cloud-Service von Dataprobe zu deaktivieren.

Ändern Sie die Passwörter aller Benutzerkonten und widerrufen Sie alle sensiblen Informationen, die auf beiden Appliances gespeichert sind und möglicherweise nach außen gelangt sind.

Aktualisieren Sie auf die neueste Version von PowerPanel Enterprise oder installieren Sie die neueste Firmware für die iBoot PDU und abonnieren Sie die Sicherheitsupdate-Benachrichtigungen des jeweiligen Herstellers. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.