研究人員表示，這些漏洞可以用來獲取對這些系統(tǒng)的完全訪問權(quán)限，也可以用來實施遠程代碼執(zhí)行(RCE)，以創(chuàng)建設(shè)備后門和進入更廣泛網(wǎng)絡(luò)的入口點。該團隊補充道，這些操作非常基礎(chǔ)，不需要什么專業(yè)知識或黑客工具，就可以在幾分鐘內(nèi)完成。在披露之初，Trellix表示，并未發(fā)現(xiàn)任何惡意使用該漏洞的行為。

 

隨著企業(yè)轉(zhuǎn)向數(shù)字化轉(zhuǎn)型和云服務(wù)，以支持新的工作習(xí)慣和運營效率，數(shù)據(jù)中心市場正在快速增長。麥肯錫公司的分析顯示，僅在美國，到2030年數(shù)據(jù)中心需求預(yù)計將達到35吉瓦(GW，1GW=10的9次方瓦)，高于2022年的17吉瓦。然而，今天的數(shù)據(jù)中心是網(wǎng)絡(luò)犯罪分子傳播惡意軟件、勒索企業(yè)贖金、進行間諜活動的關(guān)鍵攻擊載體。

 

 

CyberPower為計算機和服務(wù)器技術(shù)提供電源保護和管理系統(tǒng)。它的DCIM平臺允許IT團隊通過云技術(shù)管理、配置和監(jiān)控數(shù)據(jù)中心內(nèi)的基礎(chǔ)設(shè)施，作為所有設(shè)備的單一信息和控制來源。

 

在CyberPower的DCIM中，Trellix發(fā)現(xiàn)了四個漏洞：

 

•CVE-2023-3264：使用硬編碼憑證(CVSS評分6.7)。

•CVE-2023-3265：不正確地中和轉(zhuǎn)義、元數(shù)據(jù)或控制序列，導(dǎo)致繞過身份驗證(CVSS評分7.2)。

•CVE-2023-3266：不正確地實施標(biāo)準的安全檢查，導(dǎo)致繞過身份驗證(CVSS評分7.5)。

•CVE-2023-3267：操作系統(tǒng)命令注入，導(dǎo)致經(jīng)過身份驗證的遠程代碼執(zhí)行(CVSS評分7.5)。

 

Dataprobe制造電源管理產(chǎn)品，幫助企業(yè)監(jiān)控和控制其設(shè)備。iBoot PDU允許管理員通過web應(yīng)用程序遠程管理其設(shè)備的電源。Trellix表示，Dataprobe在眾多行業(yè)擁有數(shù)千臺設(shè)備，包括部署在數(shù)據(jù)中心、旅游和交通基礎(chǔ)設(shè)施、金融機構(gòu)、智慧城市物聯(lián)網(wǎng)安裝和政府機構(gòu)中的設(shè)備。

 

Trellix在Dataprobe的iBoot PDU中發(fā)現(xiàn)的五個漏洞是：

 

•CVE-2023-3259：反序列化不受信任的數(shù)據(jù)，導(dǎo)致繞過身份驗證(CVSS評分9.8)。

•CVE-2023-3260：操作系統(tǒng)命令注入，導(dǎo)致經(jīng)過身份驗證的遠程代碼執(zhí)行(CVSS評分7.2)。

•CVE-2023-3261：緩沖區(qū)溢出，導(dǎo)致拒絕服務(wù)(CVSS評分7.5)。

•CVE-2023-3262：使用硬編碼憑證(CVSS評分6.7)。

•CVE-2023-3263：通過備用名稱繞過認證(CVSS評分7.5)。

 

 

研究人員表示，攻擊者可以利用數(shù)據(jù)中心部署中的此類漏洞，大規(guī)模地散布惡意軟件，進行數(shù)字間諜活動，并徹底摧毀電力。使用這些平臺在數(shù)據(jù)中心設(shè)備上創(chuàng)建后門，為惡意行為者提供了一個立足點，可以危害大量系統(tǒng)和設(shè)備。根據(jù)Trellix的說法，“一些數(shù)據(jù)中心承載著數(shù)千臺服務(wù)器，并連接到數(shù)百種不同的業(yè)務(wù)應(yīng)用程序。惡意攻擊者可能會慢慢破壞數(shù)據(jù)中心和與之相連的業(yè)務(wù)網(wǎng)絡(luò)。如此大規(guī)模的設(shè)備上的惡意軟件可能會被用來進行大規(guī)模的勒索攻擊、DDoS攻擊或wiper攻擊，這可能比SuxNet、Mirai僵尸網(wǎng)絡(luò)或WannaCry的攻擊范圍更廣。”

 

此外，國家行為體和其他高級持續(xù)威脅(APT)行為者也可以利用這些漏洞進行網(wǎng)絡(luò)間諜攻擊。如果安裝在全球數(shù)據(jù)中心的間諜軟件被用于網(wǎng)絡(luò)間諜活動，向外國國家通報敏感信息，那么2018年對數(shù)據(jù)中心間諜芯片的擔(dān)憂將成為數(shù)字現(xiàn)實。

 

研究人員指出，“網(wǎng)站、業(yè)務(wù)應(yīng)用程序、消費者技術(shù)和關(guān)鍵基礎(chǔ)設(shè)施部署都依賴于這些數(shù)據(jù)中心的運行。威脅行為者可以通過在數(shù)十個受感染的數(shù)據(jù)中心中簡單地‘撥動開關(guān)’，便一次關(guān)閉所有這些數(shù)據(jù)中心數(shù)天。此外，對電源管理的操縱還可以用來破壞硬件設(shè)備本身，使其效率大大降低，甚至無法操作。”

 

 

Dataprobe和CyberPower都發(fā)布了針對這些漏洞的修復(fù)程序。Trellix表示，“我們強烈敦促所有可能受到影響的客戶立即下載并安裝這些補丁。”除了官方補丁之外，研究人員還建議對任何可能暴露于零日漏洞利用的脆弱設(shè)備或平臺采取額外措施。

 

•確保PowerPanel Enterprise或iBoot PDU沒有暴露在更廣泛的互聯(lián)網(wǎng)上。每一個都應(yīng)該只能從組織的安全內(nèi)部網(wǎng)中訪問。就iBoot PDU而言，Trellix建議禁用通過Dataprobe的云服務(wù)進行遠程訪問，作為額外的預(yù)防措施。

 

•修改與所有用戶帳戶關(guān)聯(lián)的密碼，并撤銷存儲在兩個設(shè)備上的任何可能已泄露的敏感信息。

 

•更新到最新版本的PowerPanel Enterprise或為iBoot PDU安裝最新固件，并訂閱相關(guān)供應(yīng)商的安全更新通知。

 

 

國內(nèi)主流的to B IT門戶，同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。