Data Centers também são vulneráveis a ciberataques

Em um ambiente de trabalho moderno, no qual as pessoas trabalham de forma remota ou híbrida, as empresas se voltaram para a Transformação Digital e serviços em Nuvem com o objetivo de fornecer suporte a novos hábitos de trabalho. Atualmente, é comum que diversos dispositivos estejam conectados em casa e cada vez mais as pessoas dependem de seus smartphones e serviços de internet para realizarem tarefas diárias. Inúmeras organizações e serviços governamentais também dependem de ferramentas online e aplicativos.

O mundo tornou-se cada vez mais dependente de Dados e da infraestrutura de Data Centers, que oferecem suporte à toda a base dos serviços de Internet. Tanto os servidores locais, quanto os Data Centers operados pela Amazon, Google, Microsoft ou outras grandes empresas podem ser um vetor de ataque crítico para cibercriminosos que desejam espalhar malware, sequestrar Dados, fazer espionagem estrangeira, ou simplesmente desligar grandes áreas da Internet.

Está claro que proteger a infraestrutura do Data Center que dá suporte a tantas funções da nossa sociedade é fundamental. O Trellix Advanced Research Center identifica regularmente vulnerabilidades críticas para expor e reduzir as superfícies de ataque. Em alinhamento com a Estratégia Nacional de Segurança Cibernética de 2023 anunciada recentemente, nossa equipe investigou várias plataformas de software e tecnologias de hardware de Data Center para ajudar a proteger as infraestruturas críticas nacionais e impulsionar a resiliência da segurança em todo o ecossistema digital.

Durante esta prática, encontramos quatro vulnerabilidades na plataforma de Data Center Infrastructure Management (DCIM) da CyberPower e cinco vulnerabilidades na unidade de distribuição de energia iBoot (PDU) da Dataprobe. Um invasor pode encadear essas vulnerabilidades para obter acesso total a esses sistemas – o que por si só pode ser aproveitado para causar danos substanciais. Além disso, ambos os produtos são vulneráveis à injeção remota de código que pode ser aproveitada para criar um backdoor ou um ponto de entrada para a rede mais ampla de dispositivos de data center conectados e sistemas corporativos.

Em um mundo cada vez mais dependente de grandes quantidades de dados para operações de negócios, infraestrutura crítica e atividades básicas da Internet, as principais vulnerabilidades nos Data Centers são um grande risco para a sociedade. Vulnerabilidades que permitem aos cibercriminosos infectar lentamente Data Centers para roubar Dados e informações importantes ou utilizar recursos comprometidos para iniciar ataques em escala global. As ameaças e os riscos para as pessoas e as empresas são altos.

Abaixo, estão alguns exemplos dos danos que um cibercriminoso pode causar ao utilizar explorações desse nível em Data Centers:

Desligamento
Por meio do acesso a esses sistemas de gerenciamento de energia, até mesmo o simples ato de cortar a energia de dispositivos conectados a uma PDU seria significativo. Sites, aplicativos de negócios, tecnologias de consumo e implantações de infraestrutura crítica dependem da disponibilidade desses data centers para operar. Um cibercriminoso pode causar interrupções significativas por dias seguidos com o simples “aperto de um botão” em dezenas de Data Centers comprometidos.

Além disso, a manipulação do gerenciamento de energia pode ser usada para danificar os próprios dispositivos de hardware – tornando-os muito menos eficazes, se não inoperáveis. Dados do Uptime Institute mostram que os custos de interrupções de data center estão aumentando. Hoje, 25% das interrupções custam mais de US$ 1 milhão e 45% custam entre US$ 100.000 e US$ 1 milhão. Isso se traduz em milhares ou dezenas de milhares de dólares perdidos a cada minuto para uma empresa cujo Data Center não tem energia.

Malware em escala
Usar essas plataformas para criar um backdoor no equipamento do Data Center fornece aos cibercriminosos uma porta de entrada para comprometer um grande número de sistemas e dispositivos. Alguns Data Centers hospedam milhares de servidores e se conectam a centenas de vários aplicativos de negócios. Os cibercriminosos podem comprometer lentamente o data center e as redes de negócios conectadas a ele.

O malware em uma escala tão grande de dispositivos pode ser aproveitado para ataques maciços de ransomware, DDoS ou Wiper – potencialmente ainda mais difundidos do que os de StuxNet, Mirai BotNet ou WannaCry.

Espionagem digital
Além das atividades maliciosas executadas por cibercriminosos mencionadas anteriormente, APTs e cibercriminosos apoiados por estados-nação poderiam aproveitar esses exploits para conduzir ataques de espionagem cibernética.
As preocupações de 2018 sobre chips espiões em data centers se tornariam uma realidade digital se o spyware instalado em data centers em todo o mundo fosse usado para espionagem cibernética para fornecer informações confidenciais para estados- nação estrangeiros.

Conforme discutido na edição de junho do Relatório de Ameaças Cibernéticas da Trellix, os ataques à infraestrutura de nuvem continuam a aumentar seguindo a tendência de transformação digital que muitas organizações adotaram para oferecer suporte a equipes de trabalho remoto ou híbridas durante a pandemia de covid-19. À medida que mais e mais empresas buscam expandir sua infraestrutura local ou optam por uma infraestrutura de Nuvem mais acessível e escalável da Amazon, Microsoft, Google e outros, cria-se um crescente vetor de ataque para cibercriminosos.

Embora os invasores também estejam aumentando o uso de ataques mais sofisticados na infraestrutura do Data Center, como ataques MFA, proxies e execução de API, a técnica de ataque mais proeminente continua sendo por meio de contas válidas, que é mais que o dobro do segundo vetor de ataque mais usado. O risco de “acesso não autorizado” às organizações é muito real, pois os cibercriminosos utilizam logins de contas legítimas – comprados e vendidos na dark web ou adquiridos por meio de exploits.

Além disso, a análise dos Dados do “Site de Vazamento” de muitos grupos de cibercriminosos de renome indica que as pequenas e médias empresas tendem a ser as principais vítimas de seus ataques. No entanto, mesmo essas organizações menores oferecem aos cibercriminosos um alto “valor” ao comprometer sua infraestrutura de Data Center. Uma vulnerabilidade em uma única plataforma ou dispositivo de gerenciamento de Data Center pode rapidamente levar a um completo comprometimento da rede interna e dar aos cibercriminosos uma base para atacar ainda mais qualquer infraestrutura de Nuvem conectada.

Temos a sorte de detectar essas vulnerabilidades com antecedência – sem ter encontrado nenhum uso malicioso delas. No entanto, os Data Centers são alvos atraentes para cibercriminosos devido ao número de vetores de ataque e à capacidade de escalar seus ataques depois que uma brecha foi encontrada. Assim, consideramos imperativo continuar esta pesquisa e coordenar com fornecedores de software e hardware de data center para lidar e divulgar ameaças potenciais a uma parte tão fundamental de nossa infraestrutura de TI.