Ohne Rechenzentren wären das Internet und unsere moderne Informationsgesellschaft genauso wenig möglich wie das immer wichtiger werdende Arbeiten in der Cloud. Sie beherbergen genau die Systeme und Daten, die für Speicherlösungen, Betriebssysteme, Website-Hosting, Datenverarbeitung und mehr unerlässlich sind. Gebäude, die Rechenzentren beherbergen, müssen daher strenge Sicherheitsvorschriften in Bezug auf Brandschutz, Luftzirkulation, Stromversorgung und physische Sicherheit erfüllen. In vielen Fällen werden diese Einrichtungen vollautomatisch, ohne die physische Anwesenheit von Menschen betrieben. Das Management solcher sogenannten „Lights-out“-Rechenzentren erfolgt über Fernzugriff per sogenannter Data Center Infrastructure Management (DCIM) Software. Genau an dieser Stelle haben Sicherheitsforscher von Cyble nun Sicherheitslücken festgestellt, bei denen zwar die Server des Rechenzentrums selbst adäquat gegen Eindringlinge abgesichert waren, nicht jedoch das System, das genau diese Server vor physischen Beschädigungen schützen soll.
Die Sicherheitsexperten haben über 20.000 Fälle von öffentlich zugänglichen DCIM-Systemen gefunden, darunter Temperatur- und Kühlmanagement-Dashboards, Feuchtigkeitsregler, USV-Controller, Rack-Monitore und Übertragungsschalter. Darüber hinaus konnten sie Passwörter aus Dashboards extrahieren, über die sie dann Zugriff auf tatsächliche Datenbankinstanzen erhielten, die im Rechenzentrum gespeichert waren. Hacker könnten so vollständigen Fernzugriff auf Rechenzentrumsanlagen erhalten, Statusberichte abrufen und verschiedene Systemparameter manipulieren. In den meisten Fällen wurden Standardpasswörter verwendet oder die Systeme waren stark veraltet, was es Angreifern leicht macht, sie zu kompromittieren oder Sicherheitsebenen zu überschreiben.
Die Auswirkungen eines solchen Angriffs könnten verheerend sein, denn die Serverfarmen benötigen ein möglichst konstantes Raumklima, um einwandfrei zu funktionieren. Veränderungen an der Temperatur oder der Luftfeuchtigkeit könnten genauso zu Ausfällen führen wie Manipulationen an der Stromspannung oder an Kühleinheiten. Außerdem könnten Hacker sich an den Kontrollkonsolen zu schaffen machen, falsche Alarme auslösen oder die Back-up-Intervalle verändern. Dadurch besteht die Gefahr, dass die Server beschädigt werden, Daten verloren gehen und die Systeme dauerhaft zerstört werden. Den wirtschaftlichen Schaden eines solchen Angriffs möchte man sich lieber nicht vorstellen.
Worauf man sich in einem solchen Fall einstellen sollte, konnte man im März 2021 beobachten, als ein Rechenzentrum in Straßburg durch ein Feuer beschädigt wurde, verursacht durch einen Ausfall in den Systemen, die eine unterbrechungsfreie Stromversorgung sicherstellen sollten. Das Feuer fraß sich durch tausende Server und zerstörte gewaltige Datenmengen unwiderruflich. Das führte zu Ausfällen und Unterbrechungen bei Spieleanbietern, Cryptobörsen, Telekommunikationsunternehmen, Nachrichtenanbietern und vielen weiteren Kunden des Rechenzentrums. Zwar waren hier keine Hacker beteiligt, aber die nun bekannt gewordenen Sicherheitslücken könnten Hacker für genau solch ein Szenario ausnutzen.
Doch die Sicherheitsforscher von Cyble warnen nicht nur vor drohenden physischen Schäden. Angreifer könnten ihren Zugriff auf die DCIM-Systeme dafür nutzen, Daten zu extrahieren oder die echten Administratoren auszusperren, um den Betreiber des Rechenzentrums zu erpressen.
Wir sehen: Die nun gefundenen Sicherheitslücken sind potenziell sehr gefährlich und sie zu schließen sollte für die Betreiber dieser Einrichtungen oberste Priorität haben. Daher hat Cyble bereits die CERT-Teams der Länder informiert, in denen betroffene Rechenzentren gefunden wurden. Als Sofortmaßnahme sollten Betreiber überprüfen, ob es Sicherheitspatches und Updates für ihre DCIM-Systeme gibt und diese umgehend einspielen. Auch die verwendeten Passwörter sollten umgehend auf den Prüfstand, denn Default- und unsichere Passwörter sollten in keinem Fall zum Einsatz kommen.
Außerdem empfiehlt es sich, – wenn nicht längst geschehen – ein Schwachstellen-Management einzuführen, das die gesamte Infrastruktur kontinuierlich und proaktiv auf Sicherheitslücken überwacht. Dadurch können auch Schwachstellen, die durch Patches und Updates nicht geschlossen werden können, frühzeitig identifiziert und mit entsprechenden Workarounds Vorkehrungen getroffen.
Die Sicherheitsexperten haben über 20.000 Fälle von öffentlich zugänglichen DCIM-Systemen gefunden, darunter Temperatur- und Kühlmanagement-Dashboards, Feuchtigkeitsregler, USV-Controller, Rack-Monitore und Übertragungsschalter. Darüber hinaus konnten sie Passwörter aus Dashboards extrahieren, über die sie dann Zugriff auf tatsächliche Datenbankinstanzen erhielten, die im Rechenzentrum gespeichert waren. Hacker könnten so vollständigen Fernzugriff auf Rechenzentrumsanlagen erhalten, Statusberichte abrufen und verschiedene Systemparameter manipulieren. In den meisten Fällen wurden Standardpasswörter verwendet oder die Systeme waren stark veraltet, was es Angreifern leicht macht, sie zu kompromittieren oder Sicherheitsebenen zu überschreiben.
Die Auswirkungen eines solchen Angriffs könnten verheerend sein, denn die Serverfarmen benötigen ein möglichst konstantes Raumklima, um einwandfrei zu funktionieren. Veränderungen an der Temperatur oder der Luftfeuchtigkeit könnten genauso zu Ausfällen führen wie Manipulationen an der Stromspannung oder an Kühleinheiten. Außerdem könnten Hacker sich an den Kontrollkonsolen zu schaffen machen, falsche Alarme auslösen oder die Back-up-Intervalle verändern. Dadurch besteht die Gefahr, dass die Server beschädigt werden, Daten verloren gehen und die Systeme dauerhaft zerstört werden. Den wirtschaftlichen Schaden eines solchen Angriffs möchte man sich lieber nicht vorstellen.
Worauf man sich in einem solchen Fall einstellen sollte, konnte man im März 2021 beobachten, als ein Rechenzentrum in Straßburg durch ein Feuer beschädigt wurde, verursacht durch einen Ausfall in den Systemen, die eine unterbrechungsfreie Stromversorgung sicherstellen sollten. Das Feuer fraß sich durch tausende Server und zerstörte gewaltige Datenmengen unwiderruflich. Das führte zu Ausfällen und Unterbrechungen bei Spieleanbietern, Cryptobörsen, Telekommunikationsunternehmen, Nachrichtenanbietern und vielen weiteren Kunden des Rechenzentrums. Zwar waren hier keine Hacker beteiligt, aber die nun bekannt gewordenen Sicherheitslücken könnten Hacker für genau solch ein Szenario ausnutzen.
Doch die Sicherheitsforscher von Cyble warnen nicht nur vor drohenden physischen Schäden. Angreifer könnten ihren Zugriff auf die DCIM-Systeme dafür nutzen, Daten zu extrahieren oder die echten Administratoren auszusperren, um den Betreiber des Rechenzentrums zu erpressen.
Wir sehen: Die nun gefundenen Sicherheitslücken sind potenziell sehr gefährlich und sie zu schließen sollte für die Betreiber dieser Einrichtungen oberste Priorität haben. Daher hat Cyble bereits die CERT-Teams der Länder informiert, in denen betroffene Rechenzentren gefunden wurden. Als Sofortmaßnahme sollten Betreiber überprüfen, ob es Sicherheitspatches und Updates für ihre DCIM-Systeme gibt und diese umgehend einspielen. Auch die verwendeten Passwörter sollten umgehend auf den Prüfstand, denn Default- und unsichere Passwörter sollten in keinem Fall zum Einsatz kommen.
Außerdem empfiehlt es sich, – wenn nicht längst geschehen – ein Schwachstellen-Management einzuführen, das die gesamte Infrastruktur kontinuierlich und proaktiv auf Sicherheitslücken überwacht. Dadurch können auch Schwachstellen, die durch Patches und Updates nicht geschlossen werden können, frühzeitig identifiziert und mit entsprechenden Workarounds Vorkehrungen getroffen.
Über die 8com GmbH & Co. KG
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Firmenkontakt und Herausgeber der Meldung:
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Eva-Maria Nachtigall
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Weiterführende Links
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
