根據(jù)Trellix高級(jí)研究中心的最新發(fā)現(xiàn)，CyberPower的數(shù)據(jù)中心基礎(chǔ)設(shè)施管理(DCIM)平臺(tái)存在4個(gè)漏洞，Dataprobe的iBoot電源分配單元(PDU)中存在5個(gè)漏洞。這些漏洞有可能削弱流行的基于云的服務(wù)。

研究人員表示，這些漏洞可以用來(lái)獲取對(duì)這些系統(tǒng)的完全訪問(wèn)權(quán)限，也可以用來(lái)實(shí)施遠(yuǎn)程代碼執(zhí)行(RCE)，以創(chuàng)建設(shè)備后門(mén)和進(jìn)入更廣泛網(wǎng)絡(luò)的入口點(diǎn)。該團(tuán)隊(duì)補(bǔ)充道，這些操作非?；A(chǔ)，不需要什么專(zhuān)業(yè)知識(shí)或黑客工具，就可以在幾分鐘內(nèi)完成。在披露之初，Trellix表示，并未發(fā)現(xiàn)任何惡意使用該漏洞的行為。

隨著企業(yè)轉(zhuǎn)向數(shù)字化轉(zhuǎn)型和云服務(wù)，以支持新的工作習(xí)慣和運(yùn)營(yíng)效率，數(shù)據(jù)中心市場(chǎng)正在快速增長(zhǎng)。麥肯錫公司的分析顯示，僅在美國(guó)，到2030年數(shù)據(jù)中心需求預(yù)計(jì)將達(dá)到35吉瓦(GW，1GW=10的9次方瓦)，高于2022年的17吉瓦。然而，今天的數(shù)據(jù)中心是網(wǎng)絡(luò)犯罪分子傳播惡意軟件、勒索企業(yè)贖金、進(jìn)行間諜活動(dòng)的關(guān)鍵攻擊載體。

遠(yuǎn)程代碼執(zhí)行、身份驗(yàn)證繞過(guò)、DoS等風(fēng)險(xiǎn)

CyberPower為計(jì)算機(jī)和服務(wù)器技術(shù)提供電源保護(hù)和管理系統(tǒng)。它的DCIM平臺(tái)允許IT團(tuán)隊(duì)通過(guò)云技術(shù)管理、配置和監(jiān)控?cái)?shù)據(jù)中心內(nèi)的基礎(chǔ)設(shè)施，作為所有設(shè)備的單一信息和控制來(lái)源。

在CyberPower的DCIM中，Trellix發(fā)現(xiàn)了四個(gè)漏洞：

• CVE-2023-3264：使用硬編碼憑證(CVSS評(píng)分6.7)。
• CVE-2023-3265：不正確地中和轉(zhuǎn)義、元數(shù)據(jù)或控制序列，導(dǎo)致繞過(guò)身份驗(yàn)證(CVSS評(píng)分7.2)。
• CVE-2023-3266：不正確地實(shí)施標(biāo)準(zhǔn)的安全檢查，導(dǎo)致繞過(guò)身份驗(yàn)證(CVSS評(píng)分7.5)。
• CVE-2023-3267：操作系統(tǒng)命令注入，導(dǎo)致經(jīng)過(guò)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行(CVSS評(píng)分7.5)。

Dataprobe制造電源管理產(chǎn)品，幫助企業(yè)監(jiān)控和控制其設(shè)備。iBoot PDU允許管理員通過(guò)web應(yīng)用程序遠(yuǎn)程管理其設(shè)備的電源。Trellix表示，Dataprobe在眾多行業(yè)擁有數(shù)千臺(tái)設(shè)備，包括部署在數(shù)據(jù)中心、旅游和交通基礎(chǔ)設(shè)施、金融機(jī)構(gòu)、智慧城市物聯(lián)網(wǎng)安裝和政府機(jī)構(gòu)中的設(shè)備。

Trellix在Dataprobe的iBoot PDU中發(fā)現(xiàn)的五個(gè)漏洞是：

• CVE-2023-3259：反序列化不受信任的數(shù)據(jù)，導(dǎo)致繞過(guò)身份驗(yàn)證(CVSS評(píng)分9.8)。
• CVE-2023-3260：操作系統(tǒng)命令注入，導(dǎo)致經(jīng)過(guò)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行(CVSS評(píng)分7.2)。
• CVE-2023-3261：緩沖區(qū)溢出，導(dǎo)致拒絕服務(wù)(CVSS評(píng)分7.5)。
• CVE-2023-3262：使用硬編碼憑證(CVSS評(píng)分6.7)。
• CVE-2023-3263：通過(guò)備用名稱(chēng)繞過(guò)認(rèn)證(CVSS評(píng)分7.5)。

大規(guī)模惡意軟件，數(shù)字間諜，電力中斷潛在影響

研究人員表示，攻擊者可以利用數(shù)據(jù)中心部署中的此類(lèi)漏洞，大規(guī)模地散布惡意軟件，進(jìn)行數(shù)字間諜活動(dòng)，并徹底摧毀電力。使用這些平臺(tái)在數(shù)據(jù)中心設(shè)備上創(chuàng)建后門(mén)，為惡意行為者提供了一個(gè)立足點(diǎn)，可以危害大量系統(tǒng)和設(shè)備。根據(jù)Trellix的說(shuō)法，“一些數(shù)據(jù)中心承載著數(shù)千臺(tái)服務(wù)器，并連接到數(shù)百種不同的業(yè)務(wù)應(yīng)用程序。惡意攻擊者可能會(huì)慢慢破壞數(shù)據(jù)中心和與之相連的業(yè)務(wù)網(wǎng)絡(luò)。如此大規(guī)模的設(shè)備上的惡意軟件可能會(huì)被用來(lái)進(jìn)行大規(guī)模的勒索攻擊、DDoS攻擊或wiper攻擊，這可能比SuxNet、Mirai僵尸網(wǎng)絡(luò)或WannaCry的攻擊范圍更廣。”

此外，國(guó)家行為體和其他高級(jí)持續(xù)威脅(APT)行為者也可以利用這些漏洞進(jìn)行網(wǎng)絡(luò)間諜攻擊。如果安裝在全球數(shù)據(jù)中心的間諜軟件被用于網(wǎng)絡(luò)間諜活動(dòng)，向外國(guó)國(guó)家通報(bào)敏感信息，那么2018年對(duì)數(shù)據(jù)中心間諜芯片的擔(dān)憂將成為數(shù)字現(xiàn)實(shí)。

研究人員指出，“網(wǎng)站、業(yè)務(wù)應(yīng)用程序、消費(fèi)者技術(shù)和關(guān)鍵基礎(chǔ)設(shè)施部署都依賴(lài)于這些數(shù)據(jù)中心的運(yùn)行。威脅行為者可以通過(guò)在數(shù)十個(gè)受感染的數(shù)據(jù)中心中簡(jiǎn)單地‘撥動(dòng)開(kāi)關(guān)’，便一次關(guān)閉所有這些數(shù)據(jù)中心數(shù)天。此外，對(duì)電源管理的操縱還可以用來(lái)破壞硬件設(shè)備本身，使其效率大大降低，甚至無(wú)法操作?！?/p>

檢查網(wǎng)絡(luò)曝光，安裝最新固件

Dataprobe和CyberPower都發(fā)布了針對(duì)這些漏洞的修復(fù)程序。Trellix表示，“我們強(qiáng)烈敦促所有可能受到影響的客戶立即下載并安裝這些補(bǔ)丁?！背斯俜窖a(bǔ)丁之外，研究人員還建議對(duì)任何可能暴露于零日漏洞利用的脆弱設(shè)備或平臺(tái)采取額外措施。

• 確保PowerPanel Enterprise或iBoot PDU沒(méi)有暴露在更廣泛的互聯(lián)網(wǎng)上。每一個(gè)都應(yīng)該只能從組織的安全內(nèi)部網(wǎng)中訪問(wèn)。就iBoot PDU而言，Trellix建議禁用通過(guò)Dataprobe的云服務(wù)進(jìn)行遠(yuǎn)程訪問(wèn)，作為額外的預(yù)防措施。
• 修改與所有用戶帳戶關(guān)聯(lián)的密碼，并撤銷(xiāo)存儲(chǔ)在兩個(gè)設(shè)備上的任何可能已泄露的敏感信息。
• 更新到最新版本的PowerPanel Enterprise或?yàn)閕Boot PDU安裝最新固件，并訂閱相關(guān)供應(yīng)商的安全更新通知。