Ερευνητές έχουν βρει περισσότερες από 20.000 περιπτώσεις δημοσίως εκτεθειμένου λογισμικού διαχείρισης υποδομής κέντρων δεδομένων (DCIM) που παρακολουθεί συσκευές, συστήματα ελέγχου HVAC και μονάδες διανομής ισχύος, τα οποία θα μπορούσαν να χρησιμοποιηθούν για μια σειρά καταστροφικών επιθέσεων .
Τα κέντρα δεδομένων φιλοξενούν δαπανηρά συστήματα που υποστηρίζουν λύσεις αποθήκευσης επιχειρήσεων, λειτουργικά συστήματα, φιλοξενία ιστοτόπων, επεξεργασία δεδομένων και πολλά άλλα.
Τα κτίρια που φιλοξενούν κέντρα δεδομένων πρέπει να συμμορφώνονται με αυστηρούς κανονισμούς ασφαλείας σχετικά με την πυροπροστασία, τη ροή αέρα, την ηλεκτρική ενέργεια και τη φυσική ασφάλεια.
Χρόνια επιδίωξης επιχειρησιακής αποτελεσματικότητας έχουν εισαγάγει κέντρα δεδομένων «εξαφανισμένων φώτων», τα οποία είναι πλήρως αυτοματοποιημένες εγκαταστάσεις που διαχειρίζονται εξ αποστάσεως και γενικά λειτουργούν χωρίς προσωπικό.
Ωστόσο, η διαμόρφωση αυτών των συστημάτων δεν είναι πάντα σωστή. Ως αποτέλεσμα, ενώ οι ίδιοι οι διακομιστές ενδέχεται να προστατεύονται επαρκώς από φυσική πρόσβαση, τα συστήματα που εξασφαλίζουν φυσική προστασία και βέλτιστη απόδοση μερικές φορές δεν προστατεύονται.
Πολλαπλές περιπτώσεις απροστάτευτων συστημάτων
Οι ερευνητές της Cyble έχουν βρει περισσότερες από 20.000 περιπτώσεις δημοσίως εκτεθειμένων συστημάτων DCIM, συμπεριλαμβανομένων των ταμπλό διαχείρισης θερμότητας και ψύξης, ελεγκτές υγρασίας, ελεγκτές UPS, οθόνες rack και διακόπτες μεταφοράς.
Επιπλέον, οι αναλυτές μπόρεσαν να εξαγάγουν κωδικούς πρόσβασης από πίνακες εργαλείων, τους οποίους στη συνέχεια χρησιμοποίησαν για πρόσβαση σε πραγματικές περιπτώσεις βάσεων δεδομένων που ήταν αποθηκευμένες στο κέντρο δεδομένων.
Οι εφαρμογές που εντόπισε η Cyble παρέχουν πλήρη απομακρυσμένη πρόσβαση σε στοιχεία του κέντρου δεδομένων, παρέχουν αναφορές κατάστασης και προσφέρουν στους χρήστες τη δυνατότητα να διαμορφώνουν διάφορες παραμέτρους συστήματος.
Στις περισσότερες περιπτώσεις, οι εφαρμογές χρησιμοποιούσαν προεπιλεγμένους κωδικούς πρόσβασης ή ήταν πολύ ξεπερασμένες, επιτρέποντας στους παράγοντες απειλών να τους υπονομεύσουν ή να παρακάμψουν τα επίπεδα ασφαλείας αρκετά εύκολα.