Die Sicherheitsexperten haben über 20.000 Fälle von öffentlich zugänglichen DCIM-Systemen gefunden, darunter Temperatur- und Kühlmanagement-Dashboards, Feuchtigkeitsregler, USV-Controller, Rack-Monitore und Übertragungsschalter. Darüber hinaus konnten sie Passwörter aus Dashboards extrahieren, über die sie dann Zugriff auf tatsächliche Datenbankinstanzen erhielten, die im Rechenzentrum gespeichert waren. Hacker könnten so vollständigen Fernzugriff auf Rechenzentrumsanlagen erhalten, Statusberichte abrufen und verschiedene Systemparameter manipulieren. In den meisten Fällen wurden Standardpasswörter verwendet oder die Systeme waren stark veraltet, was es Angreifern leicht macht, sie zu kompromittieren oder Sicherheitsebenen zu überschreiben.
Die Auswirkungen eines solchen Angriffs könnten verheerend sein, denn die Serverfarmen benötigen ein möglichst konstantes Raumklima, um einwandfrei zu funktionieren. Veränderungen an der Temperatur oder der Luftfeuchtigkeit könnten genauso zu Ausfällen führen wie Manipulationen an der Stromspannung oder an Kühleinheiten. Außerdem könnten Hacker sich an den Kontrollkonsolen zu schaffen machen, falsche Alarme auslösen oder die Back-up-Intervalle verändern. Dadurch besteht die Gefahr, dass die Server beschädigt werden, Daten verloren gehen und die Systeme dauerhaft zerstört werden. Den wirtschaftlichen Schaden eines solchen Angriffs möchte man sich lieber nicht vorstellen.
Worauf man sich in einem solchen Fall einstellen sollte, konnte man im März 2021 beobachten, als ein Rechenzentrum in Straßburg durch ein Feuer beschädigt wurde, verursacht durch einen Ausfall in den Systemen, die eine unterbrechungsfreie Stromversorgung sicherstellen sollten. Das Feuer fraß sich durch tausende Server und zerstörte gewaltige Datenmengen unwiderruflich. Das führte zu Ausfällen und Unterbrechungen bei Spieleanbietern, Cryptobörsen, Telekommunikationsunternehmen, Nachrichtenanbietern und vielen weiteren Kunden des Rechenzentrums. Zwar waren hier keine Hacker beteiligt, aber die nun bekannt gewordenen Sicherheitslücken könnten Hacker für genau solch ein Szenario ausnutzen.
Doch die Sicherheitsforscher von Cyble warnen nicht nur vor drohenden physischen Schäden. Angreifer könnten ihren Zugriff auf die DCIM-Systeme dafür nutzen, Daten zu extrahieren oder die echten Administratoren auszusperren, um den Betreiber des Rechenzentrums zu erpressen.
Wir sehen: Die nun gefundenen Sicherheitslücken sind potenziell sehr gefährlich und sie zu schließen sollte für die Betreiber dieser Einrichtungen oberste Priorität haben. Daher hat Cyble bereits die CERT-Teams der Länder informiert, in denen betroffene Rechenzentren gefunden wurden. Als Sofortmaßnahme sollten Betreiber überprüfen, ob es Sicherheitspatches und Updates für ihre DCIM-Systeme gibt und diese umgehend einspielen. Auch die verwendeten Passwörter sollten umgehend auf den Prüfstand, denn Default- und unsichere Passwörter sollten in keinem Fall zum Einsatz kommen.
Außerdem empfiehlt es sich, – wenn nicht längst geschehen – ein Schwachstellen-Management einzuführen, das die gesamte Infrastruktur kontinuierlich und proaktiv auf Sicherheitslücken überwacht. Dadurch können auch Schwachstellen, die durch Patches und Updates nicht geschlossen werden können, frühzeitig identifiziert und mit entsprechenden Workarounds Vorkehrungen getroffen.