צוות המחקר Team82 של חברת הסייבר קלארוטי חשף חולשות אבטחה חמורות בשתי מערכות קריטיות המשמשות מרכזי נתונים: כרטיסי רשת של מערכות אל-פסק (UPS), ובקרי מיזוג אוויר תעשייתיים. לפי החוקרים, ניצול מוצלח של החולשות הללו "עלול לאפשר לתוקפים לגרום להשבתות משמעותיות ויקרות, ולפגיעה ברציפות הפעילות של מרכזי נתונים, המהווים כיום את התשתית שעליה נשענים שירותים דיגיטליים ויישומי בינה מלאכותית ברחבי העולם".
הצמיחה המואצת של שירותי ענן, במיוחד אלה המשמשים יישומי AI, הפכה את מרכזי הנתונים לנכס אסטרטגי עבור ספקי שירות, ארגונים ואף ממשלות. השבתה של מרכז נתונים עלולה לגרום לנזקים כלכליים משמעותיים, הנאמדים במאות אלפי דולרים לשעת השבתה, ולפגוע בשירותים שעליהם מסתמכים אלפי עסקים ומיליוני משתמשים.
במקביל, מזהירים בקלארוטי כי מרכזי נתונים הופכים ליעד אטרקטיבי עבור תוקפים, במיוחד בתקופה שבה ארגונים מאמצים במהירות יישומי AI המסתמכים על תשתיות מחשוב בהיקפים חסרי תקדים.
החוקרים חשפו שתי חולשות אבטחה קריטיות בכרטיסי הרשת של מערכות ה-UPS של חברת Vertiv. מערכות אלה נועדו להבטיח אספקת חשמל רציפה לשרתים, נתבים ומערכות בקרה במקרה של הפסקות חשמל או תנודות במתח. לדברי החוקרים, "מאחר שכמעט כל ציוד המחשוב במרכזי נתונים נשען על מערכות UPS לצורך המשכיות תפעולית, ניצול מוצלח של החולשות עלול לגרום לפגיעה משמעותית בפעילות ואף להשבתה מלאה של מערכות קריטיות".
עוד חשפו החוקרים שרשרת של חולשות אבטחה חמורות בבקר Trane Tracer SC+ המשמש לניהול אוטומטי של מערכות מיזוג אוויר במבנים ובמתקנים תעשייתיים. החוקרים מצאו כי ניתן לנצל את החולשות כדי לבצע הרצת קוד מרחוק ללא צורך בהזדהות מוקדמת, ובכך לאפשר לתוקף להשתלט על מערכת ניהול המבנה ולפגוע בפעילותה.
"סוג החולשות שחשפנו ממחיש מדוע מפעילי מרכזי נתונים חייבים לשנות את האופן שבו הם מגדירים חוסן תפעולי וחוסן סייבר", אמר אמיר פרמינגר, סמנכ"ל הטכנולוגיות של קלארוטי ומנהל Team82. "אירוע סייבר בודד עלול לגרום לשיבוש פיזי, ליצור סיכוני בטיחות או להוביל להשבתה משמעותית של פעילות עסקית. המחקר שלנו מראה שהסיכון ליציבותם של מרכזי נתונים הוא ממשי ומיידי. ארגונים חייבים להתייחס להגנת מערכות סייבר-פיזיות כחלק בלתי נפרד מהאסטרטגיה העסקית שלהם כדי לצמצם סיכונים ולהבטיח רציפות תפעולית".
קלארוטי היא מובילה עולמית בתחום הגנת מערכות סייבר-פיזיות, המסייעת לארגונים להגן על המערכות הקריטיות שעליהן נשענים שירותים ותהליכים חיוניים בתעשייה, ברפואה ובמערכות תשתית. החברה העבירה את הממצאים ליצרניות הציוד Vertiv ו-Trane, ששיתפו פעולה עם החוקרים וטיפלו בחולשות לפני פרסום המחקר בכנס.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו