A ameaça à espreita nos data centers

Em um ambiente de trabalho moderno, no qual as pessoas trabalham de forma remota ou híbrida, o mundo tornou-se cada vez mais dependente de dados e da infraestrutura de data centers, que oferecem suporte à toda a base dos serviços de internet.

Tanto os servidores locais, quanto os data centers operados pela Amazon, Google, Microsoft ou outras grandes empresas podem ser um vetor de ataque crítico para cibercriminosos que desejam espalhar malware, sequestrar dados, fazer espionagem estrangeira, ou simplesmente desligar grandes áreas da internet. Está claro que proteger a infraestrutura do data center que dá suporte a tantas funções é fundamental.

O Trellix Advanced Research Center identifica regularmente vulnerabilidades críticas para expor e reduzir as superfícies de ataque. Em alinhamento com a Estratégia Nacional de Segurança Cibernética de 2023 anunciada recentemente, a equipe da Trellix investigou várias plataformas de software e tecnologias de hardware de data center para ajudar a proteger as infraestruturas críticas nacionais e impulsionar a resiliência da segurança em todo o ecossistema digital.

Durante esta prática, o fornecedor encontrou quatro vulnerabilidades na plataforma de Data Center Infrastructure Management (DCIM) da CyberPower e cinco vulnerabilidades na unidade de distribuição de energia iBoot (PDU) da Dataprobe. Um invasor pode encadear essas vulnerabilidades para obter acesso total a esses sistemas –o que por si só pode ser aproveitado para causar danos substanciais. Além disso, ambos os produtos são vulneráveis à injeção remota de código que pode ser aproveitada para criar um backdoor ou um ponto de entrada para a rede mais ampla de dispositivos de data center conectados e sistemas corporativos.

Abaixo, a Trellix oferece alguns exemplos dos danos que um cibercriminoso pode causar ao utilizar explorações desse nível em data centers:

• Desligamento: por meio do acesso a esses sistemas de gerenciamento de energia, até mesmo o simples ato de cortar a energia de dispositivos conectados a uma PDU seria significativo. Sites, aplicativos de negócios, tecnologias de consumo e implantações de infraestrutura crítica dependem da disponibilidade desses data centers para operar. Um cibercriminoso pode causar interrupções significativas por dias seguidos com o simples "aperto de um botão" em dezenas de data centers comprometidos.
  Além disso, a manipulação do gerenciamento de energia pode ser usada para danificar os próprios dispositivos de hardware –tornando-os muito menos eficazes, se não inoperáveis. Dados do Uptime Institute mostram que os custos de interrupções de data center estão aumentando. Hoje, 25% das interrupções custam mais de US$ 1 milhão e 45% custam entre US$ 100.000 e US$ 1 milhão. Isso se traduz em milhares ou dezenas de milhares de dólares perdidos a cada minuto para uma empresa cujo data center não tem energia.
• Malware em escala: Usar essas plataformas para criar um backdoor no equipamento do data center fornece aos cibercriminosos uma porta de entrada para comprometer um grande número de sistemas e dispositivos. Alguns data centers hospedam milhares de servidores e se conectam a centenas de vários aplicativos de negócios. Os cibercriminosos podem comprometer lentamente o data center e as redes de negócios conectadas a ele. O malware em uma escala tão grande de dispositivos pode ser aproveitado para ataques maciços de ransomware, DDoS ou Wiper –potencialmente ainda mais difundidos do que os de StuxNet, Mirai BotNet ou WannaCry.
• Espionagem digital: além das atividades maliciosas executadas por cibercriminosos mencionadas anteriormente, APTs e cibercriminosos apoiados por estados-nação poderiam aproveitar esses exploits para conduzir ataques de espionagem cibernética. As preocupações de 2018 sobre chips espiões em data centers se tornariam uma realidade digital se o spyware instalado em data centers em todo o mundo fosse usado para espionagem cibernética para fornecer informações confidenciais para estados-nação estrangeiros.

Conforme discutido na edição de junho do Relatório de Ameaças Cibernéticas da Trellix, os ataques à infraestrutura de nuvem continuam a aumentar seguindo a tendência de transformação digital que muitas organizações adotaram para oferecer suporte a equipes de trabalho remoto ou híbridas durante a pandemia de COVID-19. “À medida que mais e mais empresas buscam expandir sua infraestrutura local ou optam por uma infraestrutura de nuvem mais acessível e escalável da Amazon, Microsoft, Google e outros, cria-se um crescente vetor de ataque para cibercriminosos”, alerta Trellix.

De acordo com o fornecedor, embora os invasores também estejam aumentando o uso de ataques mais sofisticados na infraestrutura do data center, como ataques MFA, proxies e execução de API, a técnica de ataque mais proeminente continua sendo por meio de contas válidas, que é mais que o dobro do segundo vetor de ataque mais usado. “O risco de acesso não autorizado às organizações é muito real, pois os cibercriminosos utilizam logins de contas legítimas –comprados e vendidos na dark web ou adquiridos por meio de exploits”, diz um comunicado de imprensa da Trellix.

“Além disso, a análise dos dados do ‘Site de Vazamento’ de muitos grupos de cibercriminosos de renome indica que as pequenas e médias empresas tendem a ser as principais vítimas de seus ataques. No entanto, mesmo essas organizações menores oferecem aos cibercriminosos um alto ‘valor’ ao comprometer sua infraestrutura de data center. Uma vulnerabilidade em uma única plataforma ou dispositivo de gerenciamento de data center pode rapidamente levar a um completo comprometimento da rede interna e dar aos cibercriminosos uma base para atacar ainda mais qualquer infraestrutura de nuvem conectada”, concluiu a gente da Trellix.