- 26,826
- 46
- 8 Ноя 2022
Первые атаки показали будущее автоматизированного взлома.
Специалисты VulnCheck зафиксировали первые атаки, которые эксплуатируют критические уязвимости в openDCIM, системе, которая управляет инфраструктурой дата-центров . Злоумышленники уже автоматизировали поиск уязвимых серверов и устанавливают на них веб-оболочки для удаленного доступа.
Атаки используют цепочку из трех уязвимостей : CVE-2026-28515 , CVE-2026-28516 и CVE-2026-28517 . По данным VulnCheck, активность пока идет с одного IP-адреса из Китая. Чтобы найти уязвимые установки, атакующие, предположительно, применяют доработанную версию инструмента Vulnhuntr, который использует искусственный интеллект, чтобы анализировать уязвимости.
openDCIM применяют, чтобы управлять оборудованием в дата-центрах: стойками, сетевыми подключениями, электропитанием и устройствами. Среди обнаруженных в интернете серверов многие принадлежат университетам и другим образовательным учреждениям. Специалисты насчитали меньше 50 доступных извне систем, но подобные сервисы часто работают во внутренних сетях компаний и организаций.
Цепочка уязвимостей позволяет удаленно выполнять команды на сервере. Проблема начинается с файла install.php, который остается доступным даже после того, как систему установили. Через него можно изменить конфигурацию openDCIM, не проверяя права администратора. Затем злоумышленник внедряет SQL-код, чтобы подменить параметры конфигурации, а после запускает произвольные команды через функцию exec().
Наиболее опасной оказалась официальная Docker-сборка openDCIM. Вместо полноценной аутентификации многие администраторы включали переменную REMOTE_USER через директиву SetEnv в Apache. В результате приложение считало любой запрос авторизованным. В такой конфигурации атака не требует логина и пароля.
Специалисты показали, что полный взлом занимает меньше секунды. Эксплойт автоматически создает резервную копию конфигурации, внедряет полезную нагрузку, открывает обратную оболочку, а затем восстанавливает исходные параметры системы, чтобы скрыть следы атаки.
Проблемы обнаружил специалист VulnCheck Валентин Лобштейн еще 27 февраля. В тот же день разработчикам openDCIM отправили исправления, но сопровождающий проекта закрыл запрос , так и не проверив его. Позже Лобштейн опубликовал техническое описание атаки и готовый инструмент, чтобы эксплуатировать уязвимости.
VulnCheck добавила CVE-2026-28515 и CVE-2026-28517 в список уязвимостей, которые уже используются в реальных атаках. Компания также предупредила, что openDCIM часто располагается в сегментах сети рядом с системами, которые управляют серверами и сетевым оборудованием, поэтому, если такой сервис скомпрометируют, атакующие могут получить доступ к критически важной инфраструктуре.
Специалисты VulnCheck зафиксировали первые атаки, которые эксплуатируют критические уязвимости в openDCIM, системе, которая управляет инфраструктурой дата-центров . Злоумышленники уже автоматизировали поиск уязвимых серверов и устанавливают на них веб-оболочки для удаленного доступа.
Атаки используют цепочку из трех уязвимостей : CVE-2026-28515 , CVE-2026-28516 и CVE-2026-28517 . По данным VulnCheck, активность пока идет с одного IP-адреса из Китая. Чтобы найти уязвимые установки, атакующие, предположительно, применяют доработанную версию инструмента Vulnhuntr, который использует искусственный интеллект, чтобы анализировать уязвимости.
openDCIM применяют, чтобы управлять оборудованием в дата-центрах: стойками, сетевыми подключениями, электропитанием и устройствами. Среди обнаруженных в интернете серверов многие принадлежат университетам и другим образовательным учреждениям. Специалисты насчитали меньше 50 доступных извне систем, но подобные сервисы часто работают во внутренних сетях компаний и организаций.
Цепочка уязвимостей позволяет удаленно выполнять команды на сервере. Проблема начинается с файла install.php, который остается доступным даже после того, как систему установили. Через него можно изменить конфигурацию openDCIM, не проверяя права администратора. Затем злоумышленник внедряет SQL-код, чтобы подменить параметры конфигурации, а после запускает произвольные команды через функцию exec().
Наиболее опасной оказалась официальная Docker-сборка openDCIM. Вместо полноценной аутентификации многие администраторы включали переменную REMOTE_USER через директиву SetEnv в Apache. В результате приложение считало любой запрос авторизованным. В такой конфигурации атака не требует логина и пароля.
Специалисты показали, что полный взлом занимает меньше секунды. Эксплойт автоматически создает резервную копию конфигурации, внедряет полезную нагрузку, открывает обратную оболочку, а затем восстанавливает исходные параметры системы, чтобы скрыть следы атаки.
Проблемы обнаружил специалист VulnCheck Валентин Лобштейн еще 27 февраля. В тот же день разработчикам openDCIM отправили исправления, но сопровождающий проекта закрыл запрос , так и не проверив его. Позже Лобштейн опубликовал техническое описание атаки и готовый инструмент, чтобы эксплуатировать уязвимости.
VulnCheck добавила CVE-2026-28515 и CVE-2026-28517 в список уязвимостей, которые уже используются в реальных атаках. Компания также предупредила, что openDCIM часто располагается в сегментах сети рядом с системами, которые управляют серверами и сетевым оборудованием, поэтому, если такой сервис скомпрометируют, атакующие могут получить доступ к критически важной инфраструктуре.
- Источник новости
- www.securitylab.ru
