Datacenter: troppi errori di configurazione agevolano gli attacchi

Password predefinite e istanze esposte facilitano i cyber attacchi contro moltissimi datacenter, che rischiamo persino danni fisici.

Vulnerabilità

Ci sono oltre 20.000 istanze esposte dei sistemi Data Center Infrastructure Management (DCIM) che potrebbero essere utilizzate per scatenare una serie di cyber attacchi di ampia portata. Si tratta di applicazioni per la gestione di dispositivi, sistemi di controllo HVAC e unità di distribuzione dell'energia, che non sono correttamente configurate.

L’allarme è dei ricercatori di Cyble, che andando alla ricerca delle vulnerabilità dei datacenter hanno trovato una situazione a dir poco preoccupante. Come noto, i datacenter devono rispettare rigide norme di sicurezza antincendio, per la gestione del flusso d'aria, dell’energia elettrica e della sicurezza fisica. Sono spesso strutture completamente automatizzate e gestite da remoto, per questo la configurazione dei sistemi DCIM è un aspetto critico.

Ed è proprio su questo fronte che si sono concentrate le indagini. I ricercatori sono incappati in 20.000 istanze esposte pubblicamente relative alla dashboard di gestione termica e del raffreddamento, ai controller di umidità, degli UPS, e dei rack.

Ancora più grave, in alcuni casi Cyble è riuscita persino a mettere mano sulle password dalle dashboard, e a utilizzarle per accedere a istanze effettive archiviate nel data center. Nella maggior parte dei casi, le applicazioni utilizzavano password predefinite o molto datate, che permettevano agli eventuali attaccanti di bypassare con relativa facilità i livelli di sicurezza.


Danni fisici e software

Una situazione come quella rilevata espone a gravi rischi i dati archiviati nei data center e le loro stesse strutture fisiche. Sfruttando gli errori di configurazione, infatti, sarebbe stato possibile modificare i livelli di temperatura e umidità, configurare i parametri di erogazione dell’energia elettrica a livelli pericolosi, disattivare le unità di raffreddamento, spegnere le console, bloccare gli UPS, creare falsi allarmi o modificare gli intervalli di tempo dei backup.

Per comprendere il danno potenziale di una situazione come quella preconfigurata basta tornare con la memoria all’incendio del data center di OVH di Strasburgo avvenuto a marzo 2021, che fu causato – ricordiamo - da un guasto in uno dei gruppi di continuità presenti nell'edificio. In quel caso l’incidente non fu frutto di un attacco informatico, ma i danni per i clienti e la struttura furono comunque ingenti.



L’incendio del data center di OVH di Strasburgo

Il danno fisico non è l’unico scenario aperto dai problemi riscontrati da Cyble. Un attaccante potrebbe infatti utilizzare un accesso non autorizzato ai sistemi DCIM per esfiltrare dati o bloccare i veri amministratori, e in seguito chiedere il pagamento di denaro per restituire il controllo del datacenter ai legittimi titolari.

Inoltre, i problemi non riguardavano solo le istanze DCIM esposte. I ricercatori hanno riscontrato anche 20.000 server con interfacce di gestione iLO esposte. Si tratta delle interfacce di gestione HPE Integrated Lights-Out (iLO), che sono usate per fornire accesso remoto di basso livello a un server. Gli amministratori ne fanno uso per spegnere, accendere, riavviare e gestire da remoto i server come se fossero fisicamente di fronte a loro.

Se tali istanze non fossero adeguatamente protette, un attaccante potrebbe assumere il controllo dei server a livello di pre-avvio, modificare il sistema operativo o persino le impostazioni hardware.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Ott 12
Business Continuity in IperConvergenza per l’Edge e la PMI
Ott 18
IT CON 2022 - Milano
Ott 19
IDC Future of Data 2022
Ott 20
SAP NOW 2022
Ott 20
Dell Technologies Forum 2022
Ott 20
IT CON 2022 - Roma
Nov 03
Exclusive Tech Experience 2022 - Milano
Nov 08
Red Hat Summit Connect - Roma
Nov 08
Exclusive Tech Experience 2022 - Roma

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter