PDU oder DCIM gekapert und damit die geballte Datacenter-Macht

Rechenzentren im Visier von Kriminellen PDU oder DCIM gekapert und damit die geballte Datacenter-Macht

14.08.2023 Von Sam Quinn und Jesse Chick* Lesedauer: 5 min

Anbieter zum Thema

Fujitsu Technology Solutions GmbH

FNT GmbH

LWL-Sachsenkabel GmbH

Trellix

McAfee Germany GmbH

Das Trellix Advanced Research Center hat die Aufgabe, kritische Schwachstellen zu finden, um Angriffsflächen aufzudecken und zu reduzieren. Nun hat es sich die Tools vorgenommen, die helfen den Rechenzentrumsbetrieb aufrecht erhalten und sind auf böse Nachlässigkeiten und große Einfallstore gestoßen, die komplette Rechenzentren ausknocken und Angriffe im großen Stil erlauben können.

Die Autoren Sam Quinn and Jesse Chick haben Stromleisten und eine Software für das Datacenter Infrastructure Management (DCIM) untersucht, um genau zu sein, das Modul für das Energie-Management und haben insgesamt neun Schwachstellen gefunden, mit denen sich ein riesiger Schaden anrichten lässt.
(Bild: frei lizenziert: chat-GPT / Pixabay)

Die Welt ist in zunehmendem Maße auf Daten und die Infrastruktur der Rechenzentren angewiesen, die die Grundlage für unsere Internet-Dienste bilden. Von kleinen Server-Häusern bei Unternehmen bis hin zu riesigen Co-Location- und Cloud-Rechenzentren, die von Amazon, Google, Microsoft oder einem anderen großen Unternehmen betrieben werden, sind die heutigen Rechenzentren ein wichtiger Angriffsvektor für Cyber-Kriminelle. Sie verbreiten Malware, erpressen Lösegeld, betreiben Unternehmens- oder Auslandsspionage oder sind auf bloß ezerstörung aus und wollen etwa große Teile des Internets lahmlegen.

Das Trellix Advanced Research Center hat in Übereinkunft mit der kürzlich angekündigten „2023 National Cybersecurity Strategy“ des Weißen Hauses verschiedene Softwareplattformen und Hardwaretechnologien für Rechenzentren untersucht, um den Schutz kritischer Infrastrukturen zu unterstützen und die Sicherheit im gesamten digitalen Ökosystem zu verbessern.

Dabei fand das Team Schwachstellen in der DCIM-Plattform (Data Center Infrastructure Management) von Cyberpower und fünf Schwachstellen in der „Iboot“ Power Distribution Unit (PDU) von Dataprobe. Ein Angreifer könnte diese Schwachstellen miteinander verknüpfen, um vollständigen Zugriff auf diese Systeme zu erlangen.

Eine Steckdosenleiste als Backdoor

Das könnte dazu führen, katastrophale Schäden anzurichten. So könnte ein Angreifer mittels Remote-Code-Injektion auf die Hardware des Rechenzentrums gelangen und dort eine Backdoor zu schaffen, die wideum einen Zugangspunkt zu dem Netzwerk der angeschlossenen Geräte des Rechenzentrums und der Unternehmenssysteme ermöglichen würde.

Cyberpower bietet Stromversorgungsschutz- und Verwaltungssysteme für Server-Technik. Ihre DCIM-Plattform ermöglicht es IT-Teams, die Infrastruktur innerhalb eines Rechenzentrums über die Cloud zu verwalten, zu konfigurieren und zu überwachen und dient als zentrale Informations- und Kontrollquelle für alle Geräte. Diese Plattformen werden in der Regel von Unternehmen verwendet, die Serverbereitstellungen vor Ort in größeren, gemeinsam genutzten Rechenzentren verwalten, zum Beispiel bei den großen Cloud-Anbietern AWS, Google Cloud und Microsoft Azure.

Dataprobe stellt Energieverwaltungsprodukte her, die Unternehmen bei der Überwachung und Steuerung ihrer Geräte unterstützen. Ihre Iboot-PDU ermöglicht es Administratoren, die Stromversorgung ihrer Geräte und Anlagen über eine einfache und benutzerfreundliche Webanwendung aus der Ferne zu verwalten. Diese Geräte sind in der Regel in kleinen bis mittelgroßen Rechenzentren zu finden und werden von kleinen und mittleren Unternehmen verwendet, die ihre Server-Installationen vor Ort verwalten.

Die einzelnen Schwachstellen

Das Team fand vier größere Schwachstellen im DCIM von Cyberpower und fünf kritische Schwachstellen in der iBoot PDU von Dataprobe:

Die Schwachstellen im Cyberpower-DCIM:

CVE-2023-3264: Verwendung von hart kodierten Anmeldeinformationen (CVSS 6.7)

CVE-2023-3265: Unzulässige Neutralisierung von Escape-, Meta- oder Steuersequenzen (Auth Bypass; CVSS 7.2)

CVE-2023-3266: Unsachgemäß implementierte Sicherheitsüberprüfung für Standards (Auth Bypass; CVSS 7.5)

CVE-2023-3267: OS-Befehlsinjektion (Authentifizierter RCE; CVSS 7.5)

Das Trellix Advanced Research Center hat ein Video dazu aufgenommen, wie sich die in der PDU und dem DCIM-System entdeckten Schwachstellen auswirken können. Hier ein 'Szenenbild'.
(Bild: Trellix Advanced Research Center)

Die Schwachstellen im der Dataprobe-Iboot-PDU:

CVE-2023-3259: Deserialisierung von nicht vertrauenswürdigen Daten (Auth Bypass; CVSS 9.8)

CVE-2023-3260: OS-Befehlsinjektion (authentifizierter RCE; CVSS 7.2)

CVE-2023-3261: Pufferüberlauf (DOS; CVSS 7.5)

CVE-2023-3262: Verwendung von fest kodierten Anmeldeinformationen (CVSS 6.7)

CVE-2023-3263: Umgehung der Authentifizierung über einen alternativen Namen (Auth Bypass; CVSS 7.5)

Die möglichen Auswirkungen

Wenn Angreifer diese Schwachstellen ausnutzten könnte in zahlreichen Rechenzentren Folgendes passieren:

Ausschalten - Durch den Zugriff auf die Energieverwaltungssysteme würde selbst ein vergleichsweise schlichtes Ausschalten des Rechenzentrums erhebliche Auswirkungen haben: Websites, Geschäftsanwendungen, Verbrauchertechnik und kritische Infrastrukturen sind alle auf den Betrieb dieser Rechenzentren angewiesen. Ein Angreifer könnte all dies mit dem einfachen Umlegen eines Schalters in Dutzenden von kompromittierten Rechenzentren tagelang lahmlegen. Darüber hinaus kann die Manipulation der Energieverwaltung dazu genutzt werden, die Hardware-Geräte selbst zu beschädigen, so dass sie weit weniger effektiv oder gar nicht mehr funktionsfähig sind.

Malware in großem Maßstab - Die Verwendung dieser Plattformen zur Schaffung einer Backdoor in der Ausrüstung des Rechenzentrums verschafft Kriminellen einen Ansatzpunkt, um eine große Anzahl von Systemen und Geräten zu kompromittieren. Einige Rechenzentren beherbergen Tausende von Servern und sind mit Hunderten von verschiedenen Geschäftsanwendungen verbunden.
Böswillige könnten nach und nach sowohl das Rechenzentrum als auch die damit verbundenen Unternehmensnetzwerke kompromittieren. Malware auf einer solch großen Anzahl von Geräten könnte für massive Ransomware-, DDoS- oder Wiper-Angriffe genutzt werden - möglicherweise sogar in einem größeren Ausmaß als bei den Suxnet-, Mirai Botnet- oder Wannacry-Angriffen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu RZ- und Server-Technik

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Spionage - Zusätzlich zu den bereits erwähnten Attacken, die man von Cyber-Kriminellen erwarten würde, könnten Aggressoren, Wirtschaftsspione und von Nationalstaaten unterstützte Schnüffler und Terroristen diese Exploits nutzen, um Cyber-Spionage-Angriffe durchzuführen. Die 2018 geäußerten Befürchtungen über Spionagechips in Rechenzentren würden zur digitalen Realität, wenn die in Rechenzentren weltweit installierte Spionagesoftware für Cyber-Spionage genutzt würde, um ausländische Staaten über sensible Informationen zu informieren.

Das Trellix-Team hat Einzelheiten darüber, wie die genannten Schwachstellen entdeckt wurden und wie sie ausgenutzt werden könnten, in einer Präsentation auf der Veranstaltung Defcon am Samstag, den 12. August bekannt gegeben.

Zum Zeitpunkt der Erstellung dieses Artikels haben weder Cyberpower noch Dataprobe Sicherheits-Updates veröffentlicht, um diese Schwachstellen zu beheben.

Allerdings sind die Unternehmen Cyberpower und Dataprobe für ihre Bereitschaft und die Zusammenarbeit mit dem Trellix-Team nach der Entdeckung dieser Schwachstellen zu loben.

Empfehlung

Anstelle offizieller Patches gibt das Trellix-Team allen, die durch die anfälligen Produkte potenziell einer 0-Day-Nutzung ausgesetzt sind, die folgenden Empfehlungen:

Unternehmen sollten sicherstellen, dass „Powerpanel Enterprise“ oder Iboot-PDUs nicht mit dem Internet verbunden sind. Beides sollte nur über ein sicheres Intranet erreichbar sein.

Im Falle der Iboot-PDU wird zusätzlich dazu geraten, den Fernzugriff über den Cloud-Service von Dataprobe zu deaktivieren.

Die Admins sollten die Passwörter aller Benutzerkonten ändern und alle sensiblen Informationen zurückrufen und löschen, die auf beiden Appliances gespeichert und möglicherweise an die Öffentlichkeit gelangt sind.

Weiterhin sollten die jüngsten Version von Powerpanel Enterprise eingespielt werden beziehungsweise die aktuelle Firmware für die Iboot-PDU installiert werden. Anwender sollten zudem die Sicherheits-Update-Benachrichtigungen des jeweiligen Herstellers abonnieren.