根據(jù)Trellix高級研究中心的最新發(fā)現(xiàn)，CyberPower的數(shù)據(jù)中心基礎(chǔ)設(shè)施管理(DCIM)平臺存在4個漏洞，Dataprobe的iBoot電源分配單元(PDU)中存在5個漏洞。這些漏洞有可能削弱流行的基于云的服務(wù)。

研究人員表示，這些漏洞可以用來獲取對這些系統(tǒng)的完全訪問權(quán)限，也可以用來實(shí)施遠(yuǎn)程代碼執(zhí)行(RCE)，以創(chuàng)建設(shè)備后門和進(jìn)入更廣泛網(wǎng)絡(luò)的入口點(diǎn)。該團(tuán)隊補(bǔ)充道，這些操作非常基礎(chǔ)，不需要什么專業(yè)知識或黑客工具，就可以在幾分鐘內(nèi)完成。在披露之初，Trellix表示，并未發(fā)現(xiàn)任何惡意使用該漏洞的行為。

隨著企業(yè)轉(zhuǎn)向數(shù)字化轉(zhuǎn)型和云服務(wù)，以支持新的工作習(xí)慣和運(yùn)營效率，數(shù)據(jù)中心市場正在快速增長。麥肯錫公司的分析顯示，僅在美國，到2030年數(shù)據(jù)中心需求預(yù)計將達(dá)到35吉瓦(GW，1GW=10的9次方瓦)，高于2022年的17吉瓦。然而，今天的數(shù)據(jù)中心是網(wǎng)絡(luò)犯罪分子傳播惡意軟件、勒索企業(yè)贖金、進(jìn)行間諜活動的關(guān)鍵攻擊載體。

遠(yuǎn)程代碼執(zhí)行、身份驗證繞過、DoS等風(fēng)險

CyberPower為計算機(jī)和服務(wù)器技術(shù)提供電源保護(hù)和管理系統(tǒng)。它的DCIM平臺允許IT團(tuán)隊通過云技術(shù)管理、配置和監(jiān)控數(shù)據(jù)中心內(nèi)的基礎(chǔ)設(shè)施，作為所有設(shè)備的單一信息和控制來源。

在CyberPower的DCIM中，Trellix發(fā)現(xiàn)了四個漏洞：

• CVE-2023-3264：使用硬編碼憑證(CVSS評分6.7)。
• CVE-2023-3265：不正確地中和轉(zhuǎn)義、元數(shù)據(jù)或控制序列，導(dǎo)致繞過身份驗證(CVSS評分7.2)。
• CVE-2023-3266：不正確地實(shí)施標(biāo)準(zhǔn)的安全檢查，導(dǎo)致繞過身份驗證(CVSS評分7.5)。
• CVE-2023-3267：操作系統(tǒng)命令注入，導(dǎo)致經(jīng)過身份驗證的遠(yuǎn)程代碼執(zhí)行(CVSS評分7.5)。

Dataprobe制造電源管理產(chǎn)品，幫助企業(yè)監(jiān)控和控制其設(shè)備。iBoot PDU允許管理員通過web應(yīng)用程序遠(yuǎn)程管理其設(shè)備的電源。Trellix表示，Dataprobe在眾多行業(yè)擁有數(shù)千臺設(shè)備，包括部署在數(shù)據(jù)中心、旅游和交通基礎(chǔ)設(shè)施、金融機(jī)構(gòu)、智慧城市物聯(lián)網(wǎng)安裝和政府機(jī)構(gòu)中的設(shè)備。

Trellix在Dataprobe的iBoot PDU中發(fā)現(xiàn)的五個漏洞是：

• CVE-2023-3259：反序列化不受信任的數(shù)據(jù)，導(dǎo)致繞過身份驗證(CVSS評分9.8)。
• CVE-2023-3260：操作系統(tǒng)命令注入，導(dǎo)致經(jīng)過身份驗證的遠(yuǎn)程代碼執(zhí)行(CVSS評分7.2)。
• CVE-2023-3261：緩沖區(qū)溢出，導(dǎo)致拒絕服務(wù)(CVSS評分7.5)。
• CVE-2023-3262：使用硬編碼憑證(CVSS評分6.7)。
• CVE-2023-3263：通過備用名稱繞過認(rèn)證(CVSS評分7.5)。

大規(guī)模惡意軟件，數(shù)字間諜，電力中斷潛在影響

研究人員表示，攻擊者可以利用數(shù)據(jù)中心部署中的此類漏洞，大規(guī)模地散布惡意軟件，進(jìn)行數(shù)字間諜活動，并徹底摧毀電力。使用這些平臺在數(shù)據(jù)中心設(shè)備上創(chuàng)建后門，為惡意行為者提供了一個立足點(diǎn)，可以危害大量系統(tǒng)和設(shè)備。根據(jù)Trellix的說法，“一些數(shù)據(jù)中心承載著數(shù)千臺服務(wù)器，并連接到數(shù)百種不同的業(yè)務(wù)應(yīng)用程序。惡意攻擊者可能會慢慢破壞數(shù)據(jù)中心和與之相連的業(yè)務(wù)網(wǎng)絡(luò)。如此大規(guī)模的設(shè)備上的惡意軟件可能會被用來進(jìn)行大規(guī)模的勒索攻擊、DDoS攻擊或wiper攻擊，這可能比SuxNet、Mirai僵尸網(wǎng)絡(luò)或WannaCry的攻擊范圍更廣。”

此外，國家行為體和其他高級持續(xù)威脅(APT)行為者也可以利用這些漏洞進(jìn)行網(wǎng)絡(luò)間諜攻擊。如果安裝在全球數(shù)據(jù)中心的間諜軟件被用于網(wǎng)絡(luò)間諜活動，向外國國家通報敏感信息，那么2018年對數(shù)據(jù)中心間諜芯片的擔(dān)憂將成為數(shù)字現(xiàn)實(shí)。

研究人員指出，“網(wǎng)站、業(yè)務(wù)應(yīng)用程序、消費(fèi)者技術(shù)和關(guān)鍵基礎(chǔ)設(shè)施部署都依賴于這些數(shù)據(jù)中心的運(yùn)行。威脅行為者可以通過在數(shù)十個受感染的數(shù)據(jù)中心中簡單地‘撥動開關(guān)’，便一次關(guān)閉所有這些數(shù)據(jù)中心數(shù)天。此外，對電源管理的操縱還可以用來破壞硬件設(shè)備本身，使其效率大大降低，甚至無法操作。”

檢查網(wǎng)絡(luò)曝光，安裝最新固件

Dataprobe和CyberPower都發(fā)布了針對這些漏洞的修復(fù)程序。Trellix表示，“我們強(qiáng)烈敦促所有可能受到影響的客戶立即下載并安裝這些補(bǔ)丁。”除了官方補(bǔ)丁之外，研究人員還建議對任何可能暴露于零日漏洞利用的脆弱設(shè)備或平臺采取額外措施。

• 確保PowerPanel Enterprise或iBoot PDU沒有暴露在更廣泛的互聯(lián)網(wǎng)上。每一個都應(yīng)該只能從組織的安全內(nèi)部網(wǎng)中訪問。就iBoot PDU而言，Trellix建議禁用通過Dataprobe的云服務(wù)進(jìn)行遠(yuǎn)程訪問，作為額外的預(yù)防措施。
• 修改與所有用戶帳戶關(guān)聯(lián)的密碼，并撤銷存儲在兩個設(shè)備上的任何可能已泄露的敏感信息。
• 更新到最新版本的PowerPanel Enterprise或為iBoot PDU安裝最新固件，并訂閱相關(guān)供應(yīng)商的安全更新通知。