O weh, o weh! Datacenter-Management-Tools lassen Angreifer passieren Dark- und Deep-Net-Analyst Cyble sucht und findet Sicherheitslücken bei 20.000 Rechenzentren

Von Ulrike Ostler

Man stelle sich einen Angriff auf das Kühlsystem eines Rechenzentrums vor …. Lieber nicht? Doch. Das Unternehmen Cyble hat den Einsatz einiger Datacenter Infrastructure Management-Tools von Devive42, APC by Schneider Electric, Vertiv und Sunbird auf Abwehrmöglichkeiten von Cyber-Angriffen untersucht und fand Schnittstellen so weit offen wie Scheunentore.

Anbieter zum Thema

Wer DCIM-Lücken unverschlossen lässt, bringt komplette Datacenter in Gefahr.
Wer DCIM-Lücken unverschlossen lässt, bringt komplette Datacenter in Gefahr.
(Bild: gemeinfrei: Pete Linforth / Pixabay )

Das dürfte die Kundschaft wenig erfreuen: Die Untersuchung von Cyble Research Labs, am 27. Januar 2022 veröffentlicht, ergab, dass mehr als 20.000 Web-Instanzen verschiedener Produkte über das Internet zugänglich sind. Das bedeutet: Viele sensible Details aus den Rechenzentren wie Sensorinformationen, Netzwerk-, Benutzer- und Firmware-Details, Sicherungsdateien sowie Protokolle können von böswilligen Gruppen verwendet werden, um einen bedrohlichen und strategischen Angriff auf die gesamte Rechenzentrumsumgebung zu planen.

Die in den Rechenzentren gespeicherten und verarbeiteten Daten lassen sich beschädigen und zerstören. Hacker können sogar die Spuren ihres Angriffs löschen, indem sie die Protokolle der Web-Konsolen löschen.

Einige Datacenter gehören zur kritischen Infrastruktur, versorgen Behörden, Finanzinstitute, Versicherungen, Krankenhäuser, Verkehrsbetriebe, Regierungsstellen …. Angriffe auf die Stromversorgung, die Kühlung kämen einem Gau im Rechenzentrum gleich, der Verlust der eigenen Reputation ist noch das geringste Problem. Da ist es schon einmal gut, dass Cyble versichert, alle bei dieser Untersuchung gefundenen Schwachstellen den Computer Emergency Response Teams (CERTs) der jeweiligen Länder zu melden. Denn Hacker könnten sensible Informationen wie Benutzeranmeldeinformationen, Pläne von Rechenzentren und Komponentendetails auf Dark-Web-Märkten und Foren an Bieter einer feindlichen Nation verkaufen.

Die Untersuchung von Cyble Research Labs ergab, dass mehr als 20.000 Web-Instanzen verschiedener Produkte über das Internet zugänglich sind.
Die Untersuchung von Cyble Research Labs ergab, dass mehr als 20.000 Web-Instanzen verschiedener Produkte über das Internet zugänglich sind.
(Bild: Cyble Research Lab)

Tools und Software für das Data Center Infrastructure Management (DCIM) dienen der Visualisierung, Verwaltung und Steuerung von Datacenter-Komponenten. Das reicht von Routern, Switches und Server bis zur Gebäudeinfrastruktur, wie Heizungs-, Lüftungs- und Kühlungssysteme (HVAC), unterbrechungsfreie Stromversorgungen (USVs), sie bieten Überwachung von Serverschränken und als Power Distribution Units (PDUs), Transferschalter, Sensoren … DCIM-Tools sollen den Administratoren einen vollständigen Überblick über die Gewerke im Rechenzentrum vermitteln, so dass Netzwerk-, Stromversorgungs- und Kühlungsdaten in Echtzeit gesammelt, gespeichert und analysiert werden.

Praktisch jeder Anbieter von Rechenzentrumsequipment bietet auch Software für das Monitoring und die Steuerung an, und Rechenzentrumsbetreiber nutzen sie, spezielle Tools für einzelne Aufgaben oder auch Werkzeuge, die die Informationen integrieren können. In jüngerer Zeit gibt es den Software-Einsatz auch als Managed Service.

Der Sinn ist klar: Eine kontinuierliche Überwachung von Trends und Berichten aus dem Rechenzentrum hilft den Administratoren:innen, zu reagieren, bevor sich ein Ausfall auf Benutzer und Dienste auswirkt, was die Betriebszeit deutlich erhöht. Infolgedessen wird die Verwaltung zwischen IT- und Gebäudeinfrastrukturkomponenten effizienter. DCIM-Lösungen helfen auch an großen Standorten mit weniger Mitarbeitern, da fundiertere Entscheidungen getroffen werden können.

Bildergalerie
Bildergalerie mit 8 Bildern

Weltweit werden Rechenzentren immer schneller, intelligenter und hochgradig skalierbar, „doch diese Entwicklung hat ihren Preis“, heißt es auf dem Cyble-Blog. Denn mit der großen Leistung gehen auch eine große Verantwortung und ein hohes Risiko von Cyber-Angriffen einher.

Wie die Experten beim Aufspüren von Schwachstellen erläutern, macht es gerade die Zusammenarbeit mehrerer Technologien und Software im Rechenzentren böswilligen Hackern vergleichsweise einfach, Schlupflöcher zu finden. Die Szenarien, die sie an die Wand malen sind vielfältig, aber gleichermaßen erschreckend:

  • Hacker können einen Cyber-Angriff auf die Heizungs-, Lüftungs- und Kühlsysteme (HVAC) eines bestimmten Rechenzentrums starten, um sich an der Organisation oder einer mit dem Rechenzentrum verbundenen Partei zu rächen.
  • Ransomware-Gruppen können Administratoren von der DCIM-Anwendung ausschließen und im Gegenzug für den Datenzugriff Lösegeld fordern.
  • Von staatlicher Seite gesponserte Hacker können die Stromversorgung kritischer Komponenten des Rechenzentrums unterbrechen, was zu einer vollständigen Abschaltung des Betriebs führen kann.
  • Hacker können auch die sensiblen Daten des Rechenzentrums und seiner Komponenten stehlen und sie auf Dark-Web-Märkten und in Foren an Bieter verkaufen.

Ergebnisse der Untersuchung

Bei der Untersuchung des Umfangs von Schwachstellen, die ausgenutzt werden können, um Rechenzentren zu schädigen, fanden die Cyble Research Labs mehrere DCIM-Tools, intelligente Überwachungsgeräte, Kontrollsysteme für die thermische Kühlung und Rack-Stromüberwachungsgeräte, die für Cyber-Angriffe anfällig sind.

Die Labs-Scanner und die Google-Dorks-Untersuchung brachten zutage, dass weltweit mehr als 20.000 Instanzen und Produkte verschiedener Anbieter, die mit Rechenzentren und deren Betrieb zu tun haben, öffentlich zugänglich sind. Daher ist es sehr wahrscheinlich, dass die Cyber-Bedrohungen für Rechenzentren weltweit zunehmen. Viele dieser Instanzen, die mit werksseitigen Standardpasswörtern gesichert sind, sind im Blog beschrieben (siehe auch: Bildergalerie).

Zum Beispiel Liebert (Vertiv)

Das System „Liebert CRV Icom“ liefert Präzisionskühlungslösung für Rechenzentren mit Temperatur- und Feuchtigkeitsregelung. Es lässt sich in eine Reihe von Rechenzentrums-Racks integrieren und bietet Kühlung in der Nähe der Wärmelast. Daher eignet sich die Produktreihe für Rechenzentren, in denen die Wärmedichte zunehmen soll, ohne dass ein Doppelboden oder ein höheres Dach installiert werden müsste.

Die Cyble-Forscher konnten mehrere Web-Instanzen des Systems finden, die immer noch die Standard-Passwörter verwenden. Infolge der Nachlässigkeit von Rechenzentrumsadministratoren können Hacker und andere bösartige Bedrohungsgruppen schnell auf die Kühleinheiten des Rechenzentrums zugreifen und die Dateneinheiten überhitzen.

Bildergalerie
Bildergalerie mit 8 Bildern

Das Nachforschen offenbarte auch einige offene Web Interfaces für die Rack-Überwachung. Diese ist von entscheidender Bedeutung, da Datenspeicher- und Verarbeitungsgeräte in Racks installiert werden. Es reicht eine Änderung der äußeren Parameter, um schwere Schäden hervorzurufen. So kann ein Temperaturanstieg dazu führen, dass die Chips im Inneren schmelzen. Es reicht aber auch schon, wenn sich die Verarbeitungsleistung der Chips verändert; so verlieren sie an Effizienz, wenn sie zu kalt laufen.

Der Zugriff auf Sensoren, Stromversorgungseinheiten, Netzwerkgeräte und CCTV-Kameras, die mit dem Dashboard verbunden sind, gibt Hackern zahlreiche Möglichkeiten, sensible Informationen über die Komponenten im Rechenzentrum und ihre Funktionsweise zu erhalten.

Tag ID Taktik Technik
T0819 Initial Access Exploit Public-Facing Application
T0883 Initial Access Internet Accessible Device
T0823 Execution Graphical User Interface
T0859 Persistence Valid Accounts
T0888 Discovery Remote System Information Discovery
T0812 Lateral Movement Default Credentials
T0811 Collection Data from Information Repositories
T0852 Collection Screen Capture
T0878 Alarm Suppression Inhibit Response Function
T0816 Inhibit Response Function Device Restart/Shutdown
T0838 Inhibit Response Function Modify Alarm Settings
T0879 Impact Damage to Property
T0826 Impact Loss of Availability
T0828 Impact Loss of Productivity and Revenue
T0837 Impact Loss of Protection
T0882 Impact Theft of Operational Information

Beispiel Hewlett-Packard Enterprise

Doch neben den Software-Anbietern aus dem Datacenter-Management-Umfeld sorgen auch klassische IT-Anbieter für Negativ-Schlagzeilen. So beschreibt etwa Jan Kopriva in einem aktuellen Beitrag über das so genannte Integrated Lights-Out-Tool von HPE, wie dieses angreifbar ist.

Das Ilo-Werkzeug ist ein Low-Level-Serververwaltungssystem, das für die Out-of-Band-Konfiguration gedacht ist und von HPE in einige ihrer Server integriert wird. Neben seiner Verwendung für Wartungszwecke wird es von Administratoren häufig für einen Notfallzugriff auf den Server verwendet, wenn alles ´darüber`, etwa Hypervisor oder Betriebssystem, ausfällt und/oder nicht erreichbar ist. Da diese Art von Plattformen/Schnittstellen vom Standpunkt der Sicherheit aus gesehen recht empfindlich sind, sollte der Zugang zu ihnen immer nur auf die entsprechenden Administratorengruppen beschränkt sein, und ihre Firmware sollte immer auf dem neuesten Stand gehalten werden.

Kopriva berichtet, dass er vor etwa einem Monat auf ein Rootkit gestoßen ist, das sich in der Ilo-Plattform `versteckte‘. Dadurch konnte es auf einer sehr niedrigen Ebene mit dem infizierten System interagieren.

Da das Ilo eine Web-basierte Schnittstelle die gefundene Analyse auch auf mehrere Schwachstellen hinwies, die in der Vergangenheit darin entdeckt wurden, habe er über weniger raffinierte Angriffe nachgedacht, die auf die Plattform abzielen könnten: „Wenn es Angreifern gelingt, sich Zugang zu einem Ilo zu verschaffen, hätten sie im Grunde die volle Kontrolle über den Zielserver. Dies wäre sicherlich ein Problem in lokalen Netzwerken, aber noch viel schlimmer wäre es, wenn alle Ilos online zugänglich wären und Angreifer sie über das Internet kompromittieren könnten.“ Nun, er beschreibt detailliert, was wenig Schönes er gefunden hat ….

Die Empfehlungen

Der Cyble-Blog-Beitrag zeigt noch viele weitere diverse Zugriffe und Einflussmöglichkeiten auf, indem etwa Zugriffe auf USV-Anlagen und Transfer-Switches möglich waren. Die Empfehlung der Experten: Die Implementierung und das Verwenden eines Risiko-Management-Frameworks auf die kritischen Infrastrukturen.

Das Risk-Management Famework vom NIST
Das Risk-Management Famework vom NIST
(Bild: Cyble Reserach Lab.)

Sie raten zudem:

  • Programme zur Sensibilisierung für Cyber-Sicherheit sind ein Muss für Arbeitgeber und Management, um neue Risiken und Bedrohungen in der Cyber-Welt zu verstehen.
  • Hersteller geben in mehr oder minder regelmäßigen Abständen Hinweise auf Sicherheitslücken. Diese Sicherheitslücken müssen schnell gepatcht werden, bevor sie von Verbrechern ausgenutzt werden können.
  • Öffentlich zugängliche Web-Instanzen stellen eine erhebliche Bedrohung für kritische Sektoren dar, die von den Sicherheitsteams nicht beachtet werden. Auf diese Weise wird die gesamte Umgebung dem Risiko eines Cyber-Angriffs ausgesetzt. Hier ist es sehr wichtig, die Exposition der Vermögenswerte zu überprüfen.
  • Die Implementierung einer angemessenen Zugangskontrolle für alle angeschlossenen Anlagen sollte als erster Schritt zur Gewährleistung der Sicherheit betrachtet werden.
  • Eine ordnungsgemäße Netzwerksegmentierung ist notwendig, um die Rechenzentren vor netzwerkbasierten Angriffen zu schützen.
  • Regelmäßige Audits in kritischen Bereichen wie Rechenzentren können dazu beitragen, Ausfallzeiten in erheblichem Umfang zu verhindern.
  • Eine strenge Passwort-Regelung innerhalb des Unternehmens gehört dazu, denn es kommen täglich Datenlecks hinzu.
  • Schwachstellenanalysen und Penetrationstests helfen

Das Unternehmen 8com Cyber Defense aus Neustadt an der Weinstraße, hat in einer Pressemitteilung auf die Cyble-Untersuchung aufmerksam gemacht und als Sofortmaßnahmen hinzugesetzt; ihre DCIM-Systeme auf mögliche Sicherheits-Patches und Updates zu überprüfen und sie umgehend einzuspielen. Auch die verwendeten Passwörter sollten umgehend auf den Prüfstand, denn Default- und unsichere Passwörter sollten in keinem Fall zum Einsatz kommen.

(ID:47976768)