日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
ホームページ電源の欠陥が悪用されてデータセンターが停止する可能性がある • The Register
DEF CON 不正者にとって、ボタンを押すだけで、重要なデータセンターの電源管理装置に侵入し、接続されている複数のデバイスへの電力供給を遮断し、重要なインフラストラクチャからビジネス アプリケーションに至るまで、あらゆる種類のサービスを中断することは比較的簡単です。
この主張は、Trellix のセキュリティ研究者である Sam Quinn 氏と Jesse Chick 氏によって行われたもので、CyberPower の PowerPanel Enterprise DCIM に 9 つのバグと、Dataprobe の iBoot Power Distribution Unit (PDU) に 5 つの脆弱性を発見し、本日の DEF CON 31 でそれらのエクスプロイトについて詳しく説明しました。
彼らの講演とそれに付随する調査では、ネットワーク侵入者が脆弱な電源管理デバイスに接続されたデータセンター機器 (サーバー、スイッチなど) への電力をどのようにして遮断するのかを示しました。
あるいは、犯罪者がこれらの脆弱性を連鎖させて、供給機器のバックドアを開いたり、スパイウェアやある種の破壊的なマルウェアを展開したりするなど、もう少しステルス的で長期戦的なことを実行する可能性があると彼らは The Register に語った。
CyberPower と Dataprobe の両ベンダーは、DEF CON の準備中および研究者との協力を経て、欠陥に対処する修正プログラムをリリースしました。 ユーザーは、PowerPanel Enterprise ソフトウェアの CyberPower DCIM バージョン 2.6.9 と、Dataprobe iBoot PDU ファームウェアの最新バージョン 1.44.08042023 [ファームウェア イメージ] に更新して、穴を埋めることができます。
「データセンターは、重要なインフラストラクチャの側面として十分に研究されていません」とクイン氏は The Register に語った。 Trellix は、2 つのメーカーの 2 つの一般的に使用される電源管理および電源製品に焦点を当てましたが、他のサプライヤーからはさらに多くの製品を検討する必要があり、この研究分野は「征服の機が熟している」とチック氏は述べています。
CyberPower の DCIM ギアを使用すると、IT チームはクラウド経由でデータセンター インフラストラクチャを管理できるようになり、オンプレミスのサーバーを同じ場所に設置された大規模なデータセンターへの展開を管理する企業で一般的に使用されていると聞きました。
二人は DCIM プラットフォームで 4 つのバグを発見しました。
不正者は、最初の 3 つの CVE のいずれかを使用して、認証チェックをバイパスし、管理コンソールにアクセスし、データセンター内のデバイスをシャットダウンする可能性があります。 犯罪者はコンソールに接続できる必要があることに注意してください。
データセンター停止の 25% で 100 万ドル以上、45% で 10 万ドルから 100 万ドルの間であることが判明した Uptime Institute の統計を引用し、「実際にはかなり壊滅的なコストがかかります」とクイン氏は述べました。 「デバイスの電源を切るだけでもかなりの影響があります。」
研究者らによると、管理インターフェイスにアクセスできれば、Dataprobe iBoot PDU の脆弱性を利用してデータセンター デバイスをシャットダウンすることも同様に簡単です。
チームはこの製品に 5 つのバグを発見しました。
「両方の製品が Web ベースの管理インターフェイスを備えているため、両方の製品で見つかった脆弱性の特徴は、実際には非常によく似ていました」と Chick 氏は述べています。 「最初の課題は、認証をバイパスして管理者権限でアクションを実行できるようにすることです。これだけでも、十分な量の損害を与えるには十分です。」
そのため、PDU での認証をバイパスすると、悪者がサーバー ラック、ネットワーク スイッチ、またはそのデバイスに接続されているその他の機器の電源をオン/オフできる可能性があると同氏は付け加えました。
「しかし、認証を回避して制限されたエンドポイントにアクセスできるようになると、基盤となるオペレーティング システム上でコードが実行され、マルウェアがインストールされる可能性があります」とチック氏は述べた。
Trellix チームは、たとえば、上記のホールを介してデータセンター全体にマルウェアを展開するために使用できる概念実証エクスプロイトを開発していません。これは今後の研究課題です。
「しかし、それは企業スパイのようなことを達成する方法だろう」とチック氏は語った。 「ネットワーク トラフィックを監視したり、ログを収集したり、認証情報を取得したりするような、何らかのツールをインストールする必要があるでしょう。」
不正者は、認証バイパスの欠陥と OS コマンド インジェクションを連鎖させて、電源装置への root アクセスを取得することでこれを行う可能性があります。 そしてそこから、他のいたずらや大混乱を引き起こす可能性があります。