概要
多くの従業員が在宅勤務やハイブリッドオフィス環境で働く現代の労働環境において、大小を問わず企業は、新しい労働習慣や業務効率をサポートするために、デジタルトランスフォーメーションやクラウドサービスに注目しています。家庭内の接続デバイスはかつてないほど普及しており、消費者は日常業務をスマートフォンやインターネットサービスに依存するようになっています。数え切れないほどの政府機関やサービスも同様に、オンラインツールやクラウドアプリケーションに依存して日々の業務をサポートしています。
世界はますますデータへの依存度を高め、インターネットサービスの基盤を支えるデータセンターインフラへの依存度を高めています。企業がオンプレミスで所有する小規模なサーバーハウスから、Amazon、Google、Microsoft、その他の大手企業が運営する超大規模なコロケーションデータセンターまで、今日のデータセンターは、マルウェアの拡散、身代金目当ての企業への恐喝、企業や外国のスパイ活動、あるいは単にインターネットの大部分をシャットダウンすることを狙うサイバー犯罪者にとって、重要な攻撃ベクトルとなっています。
このブログは、データセンターにおける脆弱性の発見に焦点を当て、データセンターで広く使用されている管理プラットフォームやテクノロジーを調査する複数回シリーズの第1回目です。そのため、この調査には、この極めて重要な業界を保護するために、脆弱性の開示とパッチの適用に向け、当チームが連携している複数のベンダーが関与しています。この最初のブログでは、特にデータセンターで一般的に見られる電源管理および電源テクノロジーについて調査しました。
序章
私たちの社会の多くの機能を支えるデータセンターのインフラを保護することが最重要であることは明らかです。Trellix Advanced Research Centerは、定期的に重要な脆弱性を特定し、攻撃対象領域を明らかにし、削減しています。最近発表された2023年国家サイバーセキュリティ戦略に沿って、私たちのチームは、国家の重要インフラを保護し、デジタルエコシステム全体のセキュリティ回復力を促進するのに役立つ、いくつかのデータセンターのソフトウェアプラットフォームとハードウェア技術を調査しました。
この実践の中で、CyberPower社のPowerPanel Enterprise Data Center Infrastructure Management (DCIM)プラットフォームに4つの脆弱性を、Dataprobe社のiBoot Power Distribution Unit (PDU)に5つの脆弱性を発見しました。攻撃者はこれらの脆弱性を連鎖させることで、これらのシステムにフルアクセスすることが可能であり、それだけで多大な損害を与えることができます。さらに、両製品にはリモートコードインジェクションの脆弱性があり、この脆弱性を利用してバックドアを作成したり、接続されたデータセンター機器や企業システムのより広範なネットワークに侵入したりすることが可能です。
CyberPower社は、データセンター機器とインフラストラクチャーソリューションのリーディングベンダーであり、電源保護テクノロジーと電源管理システムを専門としています。同社のPowerPanel Enterprise DCIMプラットフォームは、ITチームがクラウドを通じてデータセンター内のインフラを管理、設定、監視し、すべてのデバイスの情報と制御の単一ソースとして機能することを可能にします。これらのプラットフォームは、大手クラウドプロバイダーのAWS、Google Cloud、Microsoft Azureなどのように、オンプレミスのサーバーから大規模な併設データセンターまでを管理する企業で一般的に使用されています。
Sunbird Software社によると、企業のデータセンター事業者の83%は、過去3年間にラック密度を高めており、そのため、インフラの管理、停止防止、稼働時間の維持を支援するDCIMプラットフォームのようなツールに注目しています。これは市場予測にも反映されています。DCIM市場は2022年に20億ドルに達し、年平均成長率20%で成長を続け、2032年には200億ドルに達すると予測されています。このように、CyberPowersのようなDCIMサービスは、業界全体で広く採用されています。
Dataprobe社は、企業のインフラ監視・制御を支援する電源管理製品を製造しています。同社のiBoot PDUにより、管理者はシンプルで使いやすいウェブアプリケーションを介して、デバイスや機器への電源供給をリモートで管理することができます。Dataprobe社は、データセンター、旅行および交通インフラ、金融機関、スマートシティIoT設備、政府機関など、数多くの業界で数千台のデバイスを導入しています。
特にiBoot PDUは2016年からサービスを開始しており、デジタルサイネージ、電気通信、リモートサイト管理など、多くのタスクに数千台のPDUが利用されています。2021年当時、露出管理会社のCensysは、750台以上のiBoot PDUがインターネット経由でアクセス可能であることを発見しました。この調査には、ファイアウォールの内側でクラウドサービスによって管理されているデバイスは含まれていなかったため、インターネットからアクセス可能なiBoot PDUの実際の数はさらに多くなる可能性があります。
チームは、 CyberPower社のPowerPanel Enterpriseに4つの重大な脆弱性を、Dataprobe社のiBoot PDUに5つの重大な脆弱性を発見しました。
- CyberPower Power PowerPanel Enterprise:
- CVE-2023-3264: ハードコードされた認証情報の使用 (CVSS 6.7)
- CVE-2023-3265: エスケープ、メタ、またはコントロールシーケンスの不適切な無効化 (認証バイパス; CVSS 7.2)
- CVE-2023-3266: 標準のセキュリティチェックの不適切な実装 (Auth Bypass; CVSS 7.5)
- CVE-2023-3267: OS コマンドインジェクション (認証済み RCE; CVSS 7.5)
- Dataprobe iBoot PDU:
- CVE-2023-3259: 信頼できないデータの逆シリアル化 (認証バイパス; CVSS 9.8)
- CVE-2023-3260: OS コマンドインジェクション (認証済み RCE; CVSS 7.2)
- CVE-2023-3261: バッファオーバーフロー (DOS; CVSS 7.5)
- CVE-2023-3262: ハードコードされた認証情報の使用 (CVSS 6.7)
- CVE-2023-3263: 代替名による認証バイパス (認証バイパス; CVSS 7.5)
影響
事業運営、重要なインフラ、基本的なインターネット活動において、膨大なデータへの依存度が高まる世界において、これらすべてを可能にしているデータセンターにおける重大な脆弱性は、日常社会にとって大きなリスクとなっています。サイバー犯罪者がデータセンター全体に徐々に感染し、重要なデータや情報を盗んだり、侵害されたリソースを利用して世界規模で攻撃を開始したりすることを可能にする脆弱性は、甚大な被害をもたらす可能性があります。消費者と企業の両方に対する脅威とリスクは高くなります。
以下に、攻撃者が多数のデータセンターでこのレベルのエクスプロイトを利用した場合の被害レベルの例をいくつか示します。
- 電源オフ:これらの電源管理システムにアクセスすることで、PDUに接続されたデバイスの電源を切るという単純な行為でさえ、重要な意味を持つことになります。ウェブサイト、ビジネスアプリケーション、コンシューマーテクノロジー、重要なインフラストラクチャはすべて、これらのデータセンターの稼働に依存しています。攻撃者は、侵害された何十ものデータセンターで「スイッチの切り替え」だけで、一度に数日間にわたって重大な混乱を引き起こす可能性があります。
- さらに、電源管理を操作することで、ハードウェアデバイス自体に損傷を与える可能性があり、動作不能ではないにしても、その効率が大幅に低下します。Uptime Instituteのデータによると、データセンターの停止によるコストは増加傾向にあります。現在、停電の25%は100万ドル以上、45%は10万ドルから100万ドルとなっています。これは、組織のデータセンターが1分停電するごとに、数千ドルから数万ドルが失われることになります。
- 大規模なマルウェア: これらのプラットフォームを使用してデータセンター機器にバックドアを作成することで、攻撃者は膨大な数のシステムやデバイスを侵害する足がかりを得ることができます。データセンターによっては、何千台ものサーバーをホストし、何百ものさまざまなビジネスアプリケーションに接続しています。攻撃者は、データセンターとそれに接続されたビジネスネットワークの両方を徐々に危険にさらす可能性があります。
- このような膨大な規模のデバイスにまたがるマルウェアは、大規模なランサムウェア攻撃、DDoS攻撃、Wiper攻撃に活用される可能性があり、StuxNet、Mirai BotNet、WannaCryよりもさらに広範囲に及ぶ可能性があります。
- デジタルスパイ活動: サイバー犯罪者に予想される前述の悪意のある活動に加えて、APTや国家を後ろ盾とする攻撃者は、これらのエクスプロイトを利用してサイバースパイ攻撃を実行する可能性があります。
- 世界中のデータセンターに設置されたスパイウェアが、外国の国家に機密情報を知らせるためのサイバースパイ活動に活用されれば、データセンターにスパイチップが搭載されるという2018年の懸念は、デジタルな現実となるでしょう。
TrellixのCyberThreatレポート6月号で取り上げたように、COVID-19の流行時に多くの組織が在宅勤務やハイブリッド勤務をサポートするために採用したデジタルトランスフォーメーションの流れを受けて、クラウドインフラストラクチャへの攻撃が増加し続けています。より多くの企業がオンプレミスの展開を拡大しようとしたり、Amazon、Microsoft、Googleなどのより手頃で拡張性の高いクラウドインフラに目を向けたりしているため、攻撃者にとって攻撃のベクトルが拡大しています。
攻撃者は、MFA攻撃、プロキシ、APIの実行など、データセンターのインフラストラクチャに対するより高度な攻撃の使用もエスカレートしていますが、最も顕著な攻撃手法は引き続き有効なアカウントを介したものであり、これは2番目によく使用される攻撃ベクトルの2倍以上です。サイバー犯罪者は、ダークウェブで売買されたものであれ、本調査で取り上げたようなエクスプロイトによって取得されたものであれ、正規のアカウントログインを利用して企業のプラットフォームやビジネスウェブサイトに侵入し攻撃を行うため、組織に対する「不正アクセス」のリスクは非常に現実的なものとなっています。
さらに、多くの著名なサイバー犯罪グループの「リークサイト」データを分析すると、中小企業が攻撃の主要な被害者となる傾向があることがわかります。しかし、このような小規模な組織であっても、攻撃者はデータセンターインフラを侵害することで高い「価値」を得ることができます。単一のデータセンター管理プラットフォームやデバイス上の脆弱性は、内部ネットワークの完全な侵害に素早くつながり、攻撃者に、接続されたクラウドインフラストラクチャをさらに攻撃する足がかりを与えます。
幸運なことに、これらのエクスプロイトの悪用を発見することなく、脆弱性を早期に発見することができました。しかし、サイバー犯罪者にとってデータセンターは、攻撃のベクトルが多く、一度足場を固めれば攻撃の規模を拡大できるため、魅力的な標的であり続けます。したがって、この研究を継続し、データセンターのソフトウェアやハードウェアのベンダーと連携して、ITインフラの中核部分に対する潜在的な脅威に対処し、公表することが不可欠であると考えています。
デモビデオ
我々のチームは、8月12日(土)午後2時(太平洋時間)に開催されたDEFCONでのプレゼンテーションで、これらの脆弱性がどのように発見され、悪用される可能性があったのか、その詳細を明らかにしました。
推奨
このブログの公開時点で、DataprobeとCyberPowerの両社は、PowerPanel Enterpriseソフトウェアのバージョン2.6.9とDataprobe iBoot PDUファームウェアの最新バージョン1.44.08042023で、これらの脆弱性の修正パッチをリリースしています。影響を受ける可能性のあるお客様には、直ちにこれらのパッチをダウンロードし、インストールしていただくよう強くお願いいたします。
公式パッチに加え、これらの脆弱な製品によるゼロディ悪用にさらされる可能性のあるデバイスやプラットフォームには、追加の対策を講じることをお勧めします。
- PowerPanel Enterprise、またはiBoot PDUがインターネットに公開されていないことを確認してください。それぞれ、組織内の安全なイントラネットからのみアクセスできるようにしてください。
- iBoot PDUの場合、追加の予防措置として、Dataprobe社のクラウドサービスを介したリモートアクセスを無効にすることをお勧めします。
- すべてのユーザーアカウントに関連付けられているパスワードを変更し、両方のアプライアンスに保存されている漏洩の可能性がある機密情報をすべて取り消します。
- PowerPanel Enterpriseの最新バージョンに更新するか、 iBoot PDUの最新ファームウェアをインストールし、関連するベンダーのセキュリティアップデート通知を購読します。
- この対策自体は、このドキュメントで説明されている脆弱性による攻撃のリスクを軽減するものではありませんが、すべてのソフトウェアを最新かつ最適なバージョンに速やかに更新することは、今回および今後のケースにおいて、危険にさらされる期間をできるだけ短くするためのベストプラクティスです。
- 最後に、Trellixのお客様は、エンドポイント (EDR) およびネットワーク (NX、Helix) によるこれらの脆弱性の検出によっても保護されます。
結論
過去数十年間におけるIoTデバイスとAIアプリケーションの爆発的な普及のおかげで、現在のコネクテッドテクノロジーは、家庭から企業に至るまで、日常生活のほぼあらゆる場面の一部となっています。COVID-19の大流行を通じて経験したように、最新のインターネット技術によって実現されるサービスや機能は、社会や文化の変化に大きな影響を与えます。
このようなサービスが消費者や企業にとって非常に重要である以上、それを可能にするデータセンターのサイバーセキュリティが不可欠であることは明らかです。今日、データセンターの適切なサイバーセキュリティ態勢と防御は、経済と社会の基本的な機能にとって不可欠であると言っても間違いではありません。この重要性ゆえに、データセンターは国家への攻撃、重要インフラの身代金要求、外国へのスパイ活動などを狙う攻撃者の標的となっています。
したがって、データセンターにサービスを提供するデバイスやソフトウェアプラットフォームは、常に安全かつ最新の状態に保たれなければならず、このハードウェアやソフトウェアを製造するベンダーは、脆弱性の開示後に迅速かつ効率的に対応するためのプロセスを備えていなければなりません。
我々は、CyberPowerとDataprobeの両社が、これらの脆弱性の発見後、当社のチームと積極的に協力してくれたことを称賛します。これらの脆弱性に対する保護策を策定し、顧客向けにパッチをリリースするという対応力は、真の組織の成熟度と業界全体のセキュリティ向上への取り組みを示しています。
※本ページの内容は2023年8月12日(US時間)更新の以下のTrellix Storiesの内容です。
原文: The Threat Lurking in Data Centers – Hack Power Management Systems, Take All the Power
著者: Sam Quinn, Jesse Chick