Systèmes de gestion des datacenters : ces vulnérabilités qui mettent les clouds publics en danger
Lors de la convention annuelle de DEF CON, des chercheurs de Trellix ont révélé plusieurs vulnérabilités dans les principaux produits de gestion des datacenters utilisés pour les clouds publics.
CyberPower, éditeur du logiciel de gestion d'infrastructure de centre de calcul (DCIM) PowerPanel et Dataprobe, fournisseur de l'unité de distribution d'énergie iBoot, ont publié des correctifs pour une série de vulnérabilités dangereuses qui, si elles avaient été découvertes par des acteurs malveillants, auraient pu causer des perturbations mondiales à une échelle presque sans précédent.
Identifiées par des chercheurs de Trellix et publiquement révélées lors de la convention annuelle DEF CON, ces vulnérabilités ont touché des centaines, voire des milliers de centres de calcul, allant de petites opérations sur site à des installations de colocation hyperscale gérées par des entreprises telles que AWS, Google ou Microsoft.
Les chercheurs de Trellix, Sam Quinn et Jesse Chick, ont déclaré qu'avec une dépendance aux services en ligne et en mode cloud à son plus haut niveau, et qui ne fait que croître, les datacenters deviennent un « vecteur d'attaque critique pour les cybercriminels souhaitant propager des logiciels malveillants, faire chanter les entreprises pour obtenir une rançon, mener des activités d'espionnage, ou simplement fermer de larges pans d'internet ».
Les chercheurs ont mené un exercice à plusieurs volets axé sur la découverte de vulnérabilités dans les datacenters, en enquêtant sur plusieurs des plateformes et technologies de gestion les plus largement utilisées dans le monde. Pour la première partie de l'exercice, ils se sont concentrés sur les technologies de gestion et d'approvisionnement en énergie.
Les vulnérabilités qu'ils ont découvertes dans les produits CyberPower et DataProbe sont particulièrement impactantes en raison de l'importance fondamentale des technologies de ces deux fournisseurs pour le fonctionnement d'un centre de calcul.
La plateforme DCIM de CyberPower est un système de protection et de gestion de l'énergie pour les technologies informatiques et serveurs qui permet aux équipes IT de gérer, configurer et surveiller l'infrastructure du datacenter en mode cloud. Elle est utilisée dans des centres de calcul de toutes formes et tailles, allant de déploiements de style petite salle de serveurs à des installations hyperscale.
Dataprobe, quant à elle, fournit des produits de gestion d'énergie qui aident les opérateurs de centres de calcul à surveiller et contrôler leurs produits. Son PDU iBoot permet aux administrateurs de gérer à distance l'alimentation de leur équipement via une application web. Il est généralement utilisé dans des centres de calcul plus petits et de moyenne taille, ou chez des PME qui gèrent leurs serveurs sur site.
« Au cours de cet exercice, nous avons découvert quatre vulnérabilités sur la plateforme DCIM de CyberPower et cinq vulnérabilités sur l'iBoot PDU de Dataprobe », a déclaré l'équipe de Trellix. Et « un attaquant pourrait combiner ces vulnérabilités pour obtenir un accès total à ces systèmes – qui à eux seuls pourraient être exploités pour causer des dommages catastrophiques – ainsi que l'injection de code à distance sur le matériel du datacenter pour créer une porte dérobée sur l'appareil et un point d'entrée vers le réseau plus large des appareils de centre de données connectés et des systèmes d'entreprise ».
Une partie des dommages qui pourraient être provoqués – si les vulnérabilités étaient efficacement enchaînées et exploitées – inclut l'arrêt de l'alimentation électrique du centre de calcul cible, la mise hors service de sites web, d’applications ou d'autres serveurs hébergés en leur sein, et la manipulation de la gestion de l'énergie pour causer des dommages physiques équipements serveurs.
Les acteurs malveillants pourraient également les exploiter pour créer une porte dérobée sur l'équipement du centre de calcul afin d'obtenir un point d'ancrage à travers lequel compromettre un grand nombre de systèmes et d'appareils différents et propager des logiciels malveillants ou des rançongiciels à grande échelle, potentiellement à travers des centaines voire des milliers d'organisations. Si un tel incident devait toucher un fournisseur majeur de services en mode cloud, l'impact pourrait être plus grand que celui de WannaCry, Log4Shell, ou la récente campagne MOVEit de Cl0p, par exemple.
Le troisième scénario cauchemardesque implique un acteur de menace avancée persistante (APT) soutenu par un État-nation – comme la référence russe Cozy Bear ou la référence chinoise APT41 – qui enchaîne les vulnérabilités pour mener des attaques de cyber espionnage.
« Nous avons la chance d'avoir détecté ces vulnérabilités tôt – sans avoir découvert d’exploitation dans la nature. Cependant, les datacenters sont des cibles attrayantes pour les cybercriminels en raison du nombre de vecteurs d'attaque et de la capacité à intensifier leurs attaques une fois qu'un point d'ancrage a été établi », a écrit l'équipe de Trellix.
« Ainsi, nous considérons qu'il est impératif que nous poursuivions cette recherche et que nous coordonnions avec les fournisseurs de logiciels et de matériel pour centres de calcul, afin de traiter et de divulguer les menaces potentielles à une partie aussi essentielle de notre infrastructure informatique ».
Appliquer les correctifs tout de suite
Avec la publication de correctifs par les deux organisations, les utilisateurs de CyberPower PowerPanel Enterprise DCIM devraient mettre à jour vers la version 2.6.9, et ceux de Dataprobe iBoot PDU vers la version 1.44.08042023, immédiatement.
Il est également conseillé aux utilisateurs qui pourraient être concernés de s'assurer que leur PowerPanel Enterprise ou iBoot PDU ne sont pas exposés à Internet, et dans le cas des utilisateurs d'iBoot, de désactiver l'accès à distance via le cloud Dataprobe.
Les utilisateurs devraient également renouveler tous les mots de passe associés aux comptes utilisateurs et révoquer toute information sensible stockée sur les deux appliances.
Sam Quinn et Jesse Chick disent « saluer à la fois CyberPower et Dataprobe pour leur volonté et leur rapidité à travailler avec notre équipe suite à la découverte de ces vulnérabilités ». Selon eux, « leur réactivité dans la création de protections pour ces vulnérabilités et la mise à disposition d'un correctif pour leurs clients démontre une véritable maturité organisationnelle et une volonté d'améliorer la sécurité à travers toute l'industrie ».