En un entorno de trabajo moderno en el que muchos empleados trabajan desde casa o en entornos de oficina híbridos, las empresas pequeñas y grandes han recurrido a la transformación digital y los servicios en la nube para respaldar nuevos hábitos de trabajo y eficiencias operativas. Los dispositivos conectados en el hogar son más frecuentes que nunca y los consumidores confían cada vez más en sus teléfonos inteligentes y servicios de Internet para las tareas diarias. De manera similar, un número incontable de organizaciones y servicios gubernamentales confían en herramientas en línea y aplicaciones en la nube para respaldar sus operaciones diarias. El mundo depende cada vez más de los datos y de la infraestructura del centro de datos que sustenta la base de nuestros servicios de Internet. Desde pequeñas casas de servidores que las empresas tienen en las instalaciones hasta centros de datos de colocación de hiperescala operados por Amazon, Google, Microsoft u otras empresas importantes, los centros de datos de hoy en día son un vector de ataque crítico para los ciberdelincuentes que desean propagar malware, chantajear a las empresas para obtener rescates, realizar operaciones corporativas o espionaje extranjero, o simplemente cerrar grandes franjas de Internet. Este blog es el primero de una serie de varias partes centrada en el descubrimiento de vulnerabilidades en los centros de datos, que investiga varias plataformas y tecnologías de administración ampliamente utilizadas presentes en los centros de datos. Por lo tanto, esta investigación involucra a varios proveedores con los que nuestro equipo se ha coordinado para revelar y parchar estas vulnerabilidades, para proteger esta industria increíblemente crítica. Para este primer blog, nuestro equipo analizó específicamente las tecnologías de administración y suministro de energía que se encuentran comúnmente en los centros de datos. Introducción Está claro que proteger la infraestructura del centro de datos que respalda tantas funciones de nuestra sociedad es primordial. El Centro de Investigación Avanzada de Trellix identifica regularmente vulnerabilidades críticas para exponer y reducir las superficies de ataque. En consonancia con la Estrategia Nacional de Ciberseguridad 2023 recientemente anunciada, nuestro equipo investigó varias plataformas de software y tecnologías de hardware de centros de datos, para ayudar a proteger las infraestructuras críticas nacionales e impulsar la resiliencia de la seguridad en todo el ecosistema digital. Durante esta práctica, encontramos cuatro vulnerabilidades en la plataforma de administración de infraestructura del centro de datos (DCIM) de CyberPower y cinco vulnerabilidades en la unidad de distribución de energía (PDU) iBoot de Dataprobe. Un atacante podría encadenar estas vulnerabilidades para obtener acceso completo a estos sistemas que por sí solos podrían aprovecharse para cometer daños sustanciales. Además, ambos productos son vulnerables a la inyección remota de código que podría aprovecharse para crear una puerta trasera o un punto de entrada más grande a la red de dispositivos de centros de datos conectados. CyberPower es un proveedor líder de equipos para centros de datos y soluciones de infraestructura, que se especializa en tecnologías de protección de energía y sistemas de administración de energía. Su plataforma DCIM permite a los equipos de TI administrar, configurar y monitorear la infraestructura dentro de un centro de datos a través de la nube, sirviendo como una fuente única de información y control para todos los dispositivos. Estas plataformas son comúnmente utilizadas por empresas que administran implementaciones de servidores locales en centros de datos coubicados más grandes, como los de los principales proveedores de nube AWS, Google Cloud, Microsoft Azure, etc. Según Sunbird Software, el 83 % de los operadores de centros de datos empresariales han aumentado la densidad de sus racks en los últimos tres años y, por lo tanto, buscan herramientas como las plataformas DCIM para ayudar a administrar su infraestructura, evitar interrupciones y mantener el tiempo de actividad. Esto se refleja en las predicciones del mercado. El mercado de DCIM alcanzó los $2,000 millones de dólares en 2022 y se prevé que continúe creciendo a una tasa del 20%, alcanzando los $20,000 millones para 2032. Por lo tanto, los servicios de DCIM como CyberPowers se adoptan ampliamente en toda la industria. La PDU iBoot, específicamente, ha estado en servicio desde 2016, con miles de estas PDU utilizadas para tareas que incluyen señalización digital, telecomunicaciones, administración de sitios remotos y mucho más. En 2021, la empresa de gestión de exposición Censys descubrió que se podía acceder a más de 750 PDU iBoot a través de Internet. Como esta búsqueda no incluyó dispositivos administrados por un servicio en la nube detrás de un firewall, la cantidad real de PDU iBoot accesibles por Internet probablemente era mucho mayor. El equipo encontró cuatro vulnerabilidades principales en el DCIM de CyberPower y cinco vulnerabilidades críticas en la PDU iBoot de Dataprobe: - CyberPower DCIM:
- CVE-2023-3264: Uso de Credenciales Codificadas (CVSS 6.7)
- CVE-2023-3265: Neutralización incorrecta de secuencias de escape, meta o control (Omisión de autenticación; CVSS 7.2)
- CVE-2023-3266: Verificación de seguridad implementada incorrectamente para el estándar (Omisión de autenticación; CVSS 7.5)
- CVE-2023-3267: Inyección de comandos del sistema operativo (RCE autenticado; CVSS 7.5)
- Dataprobe iBoot PDU:
- CVE-2023-3259: Deserialización de datos que no son de confianza (Auth Bypass; CVSS 9.8)
- CVE-2023-3260: Inyección de comandos del sistema operativo (RCE autenticado; CVSS 7.2)
- CVE-2023-3261: Desbordamiento de búfer (DOS; CVSS 7.5)
- CVE-2023-3262: Uso de Credenciales Codificadas (CVSS 6.7)
- CVE-2023-3263: Omisión de autenticación por nombre alternativo (Omisión de autenticación; CVSS 7.5)
Impacto En un mundo cada vez más dependiente de cantidades masivas de datos para las operaciones comerciales, la infraestructura crítica y las actividades básicas de Internet, las principales vulnerabilidades en los centros de datos que hacen que todo esto sea posible es un gran riesgo para la sociedad cotidiana. Las vulnerabilidades que permiten a los ciberdelincuentes infectar lentamente implementaciones de centros de datos completos para robar datos e información clave o utilizar recursos comprometidos para iniciar ataques a escala global podrían aprovecharse para causar daños masivos. Las amenazas y los riesgos tanto para los consumidores como para las empresas son elevados. A continuación, se muestran algunos ejemplos del nivel de daño que podría causar un actor de amenazas maliciosas al utilizar exploits de este nivel en numerosos centros de datos: - Apagado: a través del acceso a estos sistemas de administración de energía, incluso el simple acto de cortar la energía a los dispositivos conectados a una PDU sería significativo. Los sitios web, las aplicaciones comerciales, las tecnologías de consumo y las implementaciones de infraestructura crítica dependen de la disponibilidad de estos centros de datos para operar. Un actor de amenazas podría causar una interrupción significativa durante días seguidos con solo "pulsar un interruptor" en docenas de centros de datos comprometidos.
- Además, la manipulación de la administración de energía puede usarse para dañar los propios dispositivos de hardware, haciéndolos mucho menos efectivos, si no inoperables. Los datos del Uptime Institute muestran que los costos de las interrupciones del centro de datos están aumentando. En la actualidad, el 25 % de las interrupciones cuestan más de $1 millón y el 45 % cuestan entre $100 000 y $1 millón. Esto se traduce en miles o decenas de miles de dólares perdidos por cada minuto que el centro de datos de una organización no tiene energía.
- Malware a escala: el uso de estas plataformas para crear una puerta trasera en el equipo del centro de datos proporciona a los malos actores un punto de apoyo para comprometer una gran cantidad de sistemas y dispositivos. Algunos centros de datos albergan miles de servidores y se conectan a cientos de diversas aplicaciones empresariales. Los atacantes maliciosos podrían comprometer lentamente tanto el centro de datos como las redes comerciales conectadas a él.
- El malware en una escala tan grande de dispositivos podría aprovecharse para ataques masivos de ransomware, DDoS o Wiper, potencialmente incluso más extendidos que los de StuxNet, Mirai BotNet o WannaCry.
- Espionaje digital: además de las actividades maliciosas mencionadas anteriormente, uno esperaría de los ciberdelincuentes, las APT y los actores de amenazas respaldados por los estados nacionales podrían aprovechar estas vulnerabilidades para realizar ataques de ciber espionaje.
- Las preocupaciones de 2018 sobre los chips espía en los centros de datos se convertirían en una realidad digital si el software espía instalado en los centros de datos de todo el mundo se aprovechara para el espionaje cibernético para informar a los estados-nación extranjeros sobre información confidencial.
Como se discutió en la edición de junio del Informe sobre Ciber amenazas de Trellix, los ataques a la infraestructura de la nube continúan aumentando, siguiendo la tendencia de transformación digital que muchas organizaciones adoptaron para apoyar el trabajo desde el hogar o las fuerzas de trabajo híbridas durante la pandemia de COVID-19. A medida que más y más empresas buscan expandir sus implementaciones locales o recurrir a una infraestructura en la nube más asequible y escalable de Amazon, Microsoft, Google y otros, esto ha creado un vector de ataque creciente para los actores de amenazas. Aunque los atacantes también están aumentando, el uso de ataques más sofisticados en la infraestructura del centro de datos, como ataques MFA, proxis y ejecución de API, la técnica de ataque más destacada sigue siendo a través de cuentas válidas, que es más del doble del segundo vector de ataque más utilizado. . El riesgo de "acceso deshonesto" a las organizaciones es muy real, ya que los ciberdelincuentes utilizan inicios de sesión de cuentas legítimos, ya sea comprados y vendidos en la dark web o adquiridos a través de exploits como los discutidos en esta investigación, a plataformas empresariales y sitios web comerciales, para infiltrarse y realizar ataques. Además, el análisis de los datos del "sitio de fuga" de muchos grupos ciberdelincuentes prominentes indica que las pequeñas y medianas empresas tienden a ser las principales víctimas de sus ataques. Sin embargo, incluso estas organizaciones más pequeñas ofrecen a los actores de amenazas un alto "valor" al comprometer la infraestructura de su centro de datos. Una vulnerabilidad en una sola plataforma o dispositivo de administración de centros de datos puede llevar rápidamente a un compromiso completo de la red interna y dar a los actores de amenazas un punto de apoyo para atacar aún más cualquier infraestructura de nube conectada. Somos lo suficientemente afortunados de haber detectado estas vulnerabilidades temprano, sin haber descubierto ningún uso malicioso en la naturaleza de estos exploits. Sin embargo, los centros de datos son objetivos atractivos para los ciberdelincuentes debido a la cantidad de vectores de ataque y la capacidad de escalar sus ataques una vez que se logra un punto de apoyo. Por lo tanto, consideramos imperativo continuar con esta investigación y coordinarnos con los proveedores de software y hardware del centro de datos para abordar y revelar las posibles amenazas a una parte central de nuestra infraestructura de TI. Video de demostración https://players.brightcove.net/21712694001/OsCjrUQjY_default/index.html?videoId=6333084784112 Nuestro equipo dio a conocer más detalles de cómo estas vulnerabilidades fueron descubiertas y pudieron ser explotadas en nuestra presentación en el DEFCON el sábado 12 de agosto a las 2pm, tiempo del Pacífico. Recomendación A partir de la publicación de este blog, tanto Dataprobe como CyberPower han publicado correcciones para estas vulnerabilidades con CyberPower DCIM versión 2.6.9 de su software PowerPanel Enterprise y la última versión 1.44.08042023 del firmware Dataprobe iBoot PDU. Recomendamos encarecidamente a todos los clientes potencialmente afectados que descarguen e instalen estos parches de inmediato. Además de los parches oficiales, sugerimos tomar medidas adicionales para cualquier dispositivo o plataforma potencialmente expuesta a la explotación de día cero por parte de estos productos vulnerables: - Asegúrese de que su PowerPanel Enterprise o iBoot PDU no estén expuestos a Internet en general. Solo se debe poder acceder a cada uno desde la intranet segura de su organización.
- En el caso de la PDU iBoot, sugerimos deshabilitar el acceso remoto a través del servicio en la nube de Dataprobe como precaución adicional.
- Modificar las contraseñas asociadas a todas las cuentas de usuario y revocar cualquier información confidencial almacenada en ambos dispositivos que pueda haberse filtrado.
- Actualice a la última versión de PowerPanel Enterprise o instale el firmware más reciente para la PDU iBoot y suscríbase a las notificaciones de actualización de seguridad del proveedor correspondiente.
- Aunque esta medida en sí misma no reducirá el riesgo de ataques a través de las vulnerabilidades descritas en este documento, actualizar todo su software a la última y mejor versión de inmediato es la mejor práctica para garantizar que su ventana de exposición sea lo más breve posible en este y futuros casos.
Por último, los clientes de Trellix también están protegidos con detecciones de punto final (EDR) y de red (NX, Helix) de estas vulnerabilidades. Conclusión Gracias a la explosión de los dispositivos IoT y las aplicaciones de IA en las últimas décadas, las tecnologías conectadas de hoy forman parte de casi todos los aspectos de la vida diaria, desde el hogar hasta la empresa. Los servicios y capacidades habilitados a través de las últimas tecnologías de Internet influyen en gran medida en los cambios sociales y culturales, como se experimentó durante la pandemia de COVID-19. Con lo increíblemente importantes que son estos servicios para los consumidores y las empresas, está claro que la ciberseguridad para los centros de datos que los hacen posibles es esencial. No está mal decir hoy que la postura de seguridad cibernética adecuada y las defensas para los centros de datos son esenciales para el funcionamiento básico de nuestra economía y sociedad. Este nivel de importancia los convierte en un objetivo para los actores de amenazas que buscan implementar ataques en los estados-nación, rescatar infraestructura crítica o realizar espionaje para naciones extranjeras. Por lo tanto, los dispositivos y las plataformas de software que dan servicio a los centros de datos deben permanecer seguros y actualizados, y los proveedores que producen este hardware y software cuentan con procesos para una respuesta rápida y eficiente luego de la divulgación de vulnerabilidades. Aplaudimos tanto a CyberPower como a Dataprobe por su voluntad y conveniencia al trabajar con nuestro equipo tras el descubrimiento de estas vulnerabilidades. Su capacidad de respuesta en la creación de protecciones para estas vulnerabilidades y el lanzamiento de un parche para sus clientes muestra una verdadera madurez organizacional y un impulso para mejorar la seguridad en toda la industria. Este documento y la información que contiene describen la investigación de seguridad informática únicamente con fines educativos y para comodidad de los clientes de Trellix. Trellix realiza investigaciones de acuerdo con su Política de divulgación razonable de vulnerabilidades | Trellix. Cualquier intento de recrear parte o la totalidad de las actividades descritas es únicamente por cuenta y riesgo del usuario, y ni Trellix ni sus afiliados asumirán ninguna responsabilidad u obligación. | 
No hay comentarios:
Publicar un comentario