Yönetişim ve Risk Yönetimi , Yama Yönetimi
CyberPower ve Dataprobe Ürünlerinde Bulunan Güvenlik Açıkları
Prajeet Nair (@prajeetspeaks) •
14 Ağustos 2023
Veri merkezi güç yönetimi sistemlerindeki ve tedarik teknolojilerindeki çoklu güvenlik açıkları, tehdit aktörlerinin yetkisiz erişim elde etmesine ve uzaktan kod enjeksiyonu gerçekleştirmesine olanak tanır.
Ayrıca bakınız: CISO’ların Gerileme Dönemini Aşması İçin 10 Kemer Sıkma Önerisi
Saldırganlar, veri merkezi sistemlerine tam erişim elde etmek için birden çok güvenlik açığını zincirleyebilir ve bir arka kapı oluşturmak ve bağlı veri merkezi cihazlarından oluşan daha geniş bir ağa giriş noktası oluşturmak için uzaktan kod enjeksiyonu gerçekleştirebilir.
Trellix araştırmacıları Sam Quinn ve Jesse Chick, CyberPower’ın PowerPanel Kurumsal Veri Merkezi Altyapı Yönetimi platformunda dört büyük güvenlik açığı ve Dataprobe’un iBoot Güç Dağıtım Birimi’nde beş kritik güvenlik açığı buldu.
Araştırmacılar, “Bunlar tek başına yıkıcı hasar vermek için kullanılabilir” dedi.
Sunbird Software’e göre, 10 kurumsal veri merkezi operatöründen 8’inden fazlası son üç yılda raf yoğunluklarını artırdı. Veri merkezleri altyapıyı yönetmek, kesintileri önlemek ve çalışma süresini sürdürmek için DCIM platformları gibi araçlara giderek daha fazla yöneliyor.
Trellix, DCIM pazarının geçen yıl 2 milyar dolara ulaştığını ve yıllık %20 bileşik büyüme oranıyla 2032’de 20 milyar dolara ulaşacağını söyledi.
Veri merkezi ekipmanı ve altyapı çözümleri sağlayıcısı CyberPower’ın PowerPanel Enterprise DCIM platformu, bilgi teknolojisi ekiplerinin bir veri merkezi içindeki altyapıyı bulut aracılığıyla yönetmesine, yapılandırmasına ve izlemesine olanak tanıyarak tüm cihazlar için tek bir bilgi ve kontrol kaynağı olarak hizmet verir.
Araştırmacılar, “Bu platformlar, büyük bulut sağlayıcıları AWS, Google Cloud ve Microsoft Azure gibi daha büyük, ortak konumlu veri merkezlerine şirket içi sunucu dağıtımlarını yöneten şirketler tarafından yaygın olarak kullanılıyor” dedi.
Dataprobe, işletmelere ekipmanlarını izleme ve kontrol etme konusunda yardımcı olan güç yönetimi ürünleri üretmektedir. Araştırmacılara göre, iBoot-PDU, yöneticilerin cihazlarına ve ekipmanlarına giden güç kaynağını “basit ve kullanımı kolay” bir web uygulaması aracılığıyla uzaktan yönetmelerine olanak tanıyor ve cihazların “tipik olarak küçük ve orta ölçekli verilerde bulunduğunu” ekliyor. merkezleri ve şirket içi sunucu dağıtımlarını yöneten KOBİ’ler tarafından kullanılır.”
CyberPower’ın DCIM’sinde ve Dataprobe’un iBoot-PDU’sunda ortaya çıkarılan dokuz güvenlik açığı, CVE-2023-3259’dan CVE-2023-3267’ye kadar izlenir ve 6,7’den 9,8’e kadar CVSS puanlarına sahiptir.
Araştırmacılar, potansiyel olarak etkilenen tüm müşterileri yamaları hemen indirmeye ve yüklemeye çağırıyor.
CyberPower DCIM:
- CVE-2023-3264: Sabit kodlanmış kimlik bilgilerinin kullanımı; CVSS puanı – 6.7;
- CVE-2023-3265: Kaçış, meta veya kontrol dizilerinin uygunsuz nötralizasyonu; CVSS puanı – 7.2;
- CVE-2023-3266: Standart için yanlış uygulanan güvenlik kontrolü; CVSS puanı – 7.5;
- CVE-2023-3267: OS komut enjeksiyonu; CVSS puanı – 7.5.
Dataprobe iBoot-PDU:
Bu güvenlik açıkları, kötü niyetli bir tehdit aktörünün bir PDU’ya bağlı cihazların elektriğini kesmesine olanak tanır. Araştırmacılar, “Bir tehdit aktörü, güvenliği ihlal edilmiş düzinelerce veri merkezinde basit bir “anahtar çevirme” ile aynı anda günlerce önemli kesintilere neden olabilir” dedi.
Ek olarak, güç yönetiminin manipülasyonu, donanım cihazlarının kendilerine zarar vermek için kullanılabilir. Uptime Institute’un bir raporu, veri merkezlerindeki kesintilerin %25’inin maliyetinin 1 milyon dolardan fazla olduğunu ve %45’inin maliyetinin 100.000 ila 1 milyon dolar arasında olduğunu gösteriyor.
Saldırganlar, kötü aktörlerin çok sayıda sistemi ve cihazı tehlikeye atmasına izin veren bir arka kapı oluşturmak için güvenlik açıklarını kullanabilir. Trellix araştırmacıları, “Böylesine büyük bir cihaz ölçeğindeki kötü amaçlı yazılım, potansiyel olarak StuxNet, Mirai BotNet veya WannaCry saldırılarından bile daha yaygın olan devasa fidye yazılımı, DDoS veya Wiper saldırıları için kullanılabilir.”