Centros de datos en riesgo

Investigadores de Cyble, organización dedicada a recopilar inteligencia a través de DeepWeb, DarkWeb y Surface Web, encontraron más de 20,000 instancias del software de Administración de infraestructura de centro de datos (DCIM, por sus siglas en inglés) expuestas públicamente. Dicho software monitorea sistemas de control HVAC, unidades de distribución de energía, tableros de administración térmica y de enfriamiento, controladores de humedad, controladores de UPS, monitores de rack e interruptores de transferencia, que podrían usarse para una variedad de ataques.

Por otro lado, los analistas extrajeron contraseñas de los paneles que luego usaron para acceder a instancias de bases de datos almacenadas en un centro de datos. Las aplicaciones encontradas por Cyble brindan acceso remoto completo a los activos de centros de datos, que muestran informes de estado y ofrecen a los usuarios la capacidad de configurar varios parámetros de dichos sistemas. En la mayoría de los casos, las aplicaciones usaban contraseñas predeterminadas o estaban desactualizadas, lo que permitía a los actores de amenazas comprometerlas o anular las capas de seguridad con bastante facilidad.

Los centros de datos alojan hardware y sistemas costosos que respaldan las soluciones de almacenamiento empresarial, los sistemas operativos, el alojamiento de sitios web, procesamiento de datos y más. Los sitios que albergan centros de datos deben cumplir con estrictas normas de seguridad en materia de protección, por ejemplo: normas contra incendios, de flujo de aire, de energía eléctrica y seguridad física. Años de búsqueda de eficiencia han derivado en instalaciones totalmente automatizadas, administradas de forma remota y generalmente operando sin personal, sin embargo, la configuración de estos sistemas no siempre es correcta. Como resultado, mientras que los propios servidores pueden estar adecuadamente protegidos contra el acceso físico, los sistemas que garantizan la protección física y el rendimiento óptimo a veces no lo están.

Exponer los sistemas DCIM sin la protección adecuada podría ocasionar que cualquiera cambie los umbrales de temperatura y humedad, configure los parámetros de voltaje a niveles peligrosos, desactive las unidades de enfriamiento, apague las consolas, ponga los dispositivos UPS en suspensión, cree falsas alarmas o cambie los intervalos de tiempo de respaldo. Todos estos son actos potencialmente peligrosos que pueden provocar daños físicos, pérdida de datos y un impacto económico significativo en las organizaciones objetivo y sus clientes.

Un ejemplo de esto fue un incendio en marzo de 2021 en el centro de datos de OVH con sede en Estrasburgo, Francia, causado por una falla en una de las unidades UPS del edificio. Si bien ese evento no fue el resultado de un ataque, ilustra la magnitud del daño que un ataque podría causar a los proveedores de servicios y sus clientes. El incendio consumió miles de servidores, borró datos de manera irreversible y provocó la interrupción del servicio en servidores de juegos, intercambio de criptomonedas, empresas de telecomunicaciones, medios de comunicación y más. Incluso si no se produce ningún daño físico, los adversarios pueden usar el acceso a los sistemas DCIM para filtrar datos o bloquear a los administradores reales y finalmente, extorsionar al propietario del centro de datos. En cualquier caso, las implicaciones son un gran riesgo y debería ser una prioridad cerrar estas brechas de seguridad.

¿Qué acciones tomar?

• De ser posible, implementar múltiple factor de autenticación en los paneles de administración de los sistemas DCIM.
• Cambiar las contraseñas predeterminadas de los sistemas DCIM y utilizar contraseñas robustas y que no sean fáciles de adivinar o descifrar por medio de ataques de fuerza bruta.
• No exponer estos sistemas en internet, y de ser necesario implementar acceso por medio de VPN.
• Implementar políticas de monitoreo constante para detectar de manera oportuna la actividad inusual de accesos.
• Contar con un Plan de recuperación de desastres (DRP).

Referencias:
• https://taleek.me/2022/01/29/over-20000-information-heart-control-programs-uncovered-to-hackers/
• https://www.bleepingcomputer.com/news/security/over-20-000-data-center-management-systems-exposed-to-hackers/