Ci sono oltre 20.000 istanze esposte dei sistemi Data Center Infrastructure Management (DCIM) che potrebbero essere utilizzate per scatenare una serie di cyber attacchi di ampia portata. Si tratta di applicazioni per la gestione di dispositivi, sistemi di controllo HVAC e unità di distribuzione dell'energia, che non sono correttamente configurate.

L’allarme è dei ricercatori di Cyble, che andando alla ricerca delle vulnerabilità dei datacenter hanno trovato una situazione a dir poco preoccupante. Come noto, i datacenter devono rispettare rigide norme di sicurezza antincendio, per la gestione del flusso d'aria, dell’energia elettrica e della sicurezza fisica. Sono spesso strutture completamente automatizzate e gestite da remoto, per questo la configurazione dei sistemi DCIM è un aspetto critico.

Ed è proprio su questo fronte che si sono concentrate le indagini. I ricercatori sono incappati in 20.000 istanze esposte pubblicamente relative alla dashboard di gestione termica e del raffreddamento, ai controller di umidità, degli UPS, e dei rack.

Ancora più grave, in alcuni casi Cyble è riuscita persino a mettere mano sulle password dalle dashboard, e a utilizzarle per accedere a istanze effettive archiviate nel data center. Nella maggior parte dei casi, le applicazioni utilizzavano password predefinite o molto datate, che permettevano agli eventuali attaccanti di bypassare con relativa facilità i livelli di sicurezza.

Danni fisici e software

Una situazione come quella rilevata espone a gravi rischi i dati archiviati nei data center e le loro stesse strutture fisiche. Sfruttando gli errori di configurazione, infatti, sarebbe stato possibile modificare i livelli di temperatura e umidità, configurare i parametri di erogazione dell’energia elettrica a livelli pericolosi, disattivare le unità di raffreddamento, spegnere le console, bloccare gli UPS, creare falsi allarmi o modificare gli intervalli di tempo dei backup.

Per comprendere il danno potenziale di una situazione come quella preconfigurata basta tornare con la memoria all’incendio del data center di OVH di Strasburgo avvenuto a marzo 2021, che fu causato – ricordiamo - da un guasto in uno dei gruppi di continuità presenti nell'edificio. In quel caso l’incidente non fu frutto di un attacco informatico, ma i danni per i clienti e la struttura furono comunque ingenti.

L’incendio del data center di OVH di Strasburgo

Il danno fisico non è l’unico scenario aperto dai problemi riscontrati da Cyble. Un attaccante potrebbe infatti utilizzare un accesso non autorizzato ai sistemi DCIM per esfiltrare dati o bloccare i veri amministratori, e in seguito chiedere il pagamento di denaro per restituire il controllo del datacenter ai legittimi titolari.

Inoltre, i problemi non riguardavano solo le istanze DCIM esposte. I ricercatori hanno riscontrato anche 20.000 server con interfacce di gestione iLO esposte. Si tratta delle interfacce di gestione HPE Integrated Lights-Out (iLO), che sono usate per fornire accesso remoto di basso livello a un server. Gli amministratori ne fanno uso per spegnere, accendere, riavviare e gestire da remoto i server come se fossero fisicamente di fronte a loro.

Se tali istanze non fossero adeguatamente protette, un attaccante potrebbe assumere il controllo dei server a livello di pre-avvio, modificare il sistema operativo o persino le impostazioni hardware.