מרכזי הנתונים הפכו בשנים האחרונות לאחת התשתיות הקריטיות ביותר בכלכלה העולמית. הם מפעילים שירותי ענן, מערכות פיננסיות, פלטפורמות תקשורת ומנועי בינה מלאכותית הצורכים כמויות עצומות של כוח מחשוב. אלא שמחקר חדש של צוות Team82 מחברת הסייבר הישראלית קלארוטי מצביע על כך שעקב האכילס של מתקנים אלה עשוי להימצא דווקא מחוץ לחדרי השרתים.

החוקרים חשפו חולשות אבטחה חמורות בשני סוגי מערכות המהוות חלק מתשתית ההפעלה של מרכזי נתונים: מערכות אל-פסק (UPS) ובקרי מיזוג אוויר תעשייתיים. לפי קלארוטי, ניצול מוצלח של החולשות עלול לגרום לפגיעה בזמינות השירותים, להשבתת מערכות ואף לנזק לציוד.

בחלק הראשון של המחקר התמקדו החוקרים בכרטיסי הרשת Liebert IS-UNITY-DP של חברת Vertiv, המשמשים לניהול מרחוק של מערכות UPS. מערכות אלה אחראיות לספק חשמל רציף לשרתים, נתבים ומערכות בקרה במקרה של הפסקות חשמל או תנודות במתח. החוקרים זיהו שתי חולשות שקיבלו ציון חומרה של 9.8 מתוך 10 במדד CVSS. לדברי קלארוטי, החולשות עשויות לאפשר לתוקף להריץ קוד מרחוק ולקבל גישה למערכות הניהול של יחידות האל-פסק. אחד התרחישים שהציגו החוקרים כולל שליחת פקודת "Output Off", אשר מורה למערכת ה-UPS להפסיק להזין חשמל לציוד המחובר אליה. במרכז נתונים, פעולה כזו עלולה לגרום להשבתה של שרתים ומערכות קריטיות ברחבי המתקן כולו.

במקביל חשפו החוקרים חמש חולשות אבטחה בבקר Trane Tracer SC+, מערכת לניהול מיזוג אוויר ומערכות מבנה. בין היתר נמצאו סיסמאות מובנות (Hard-Coded Credentials), קבועים קריפטוגרפיים קשיחים, ממשקי API ללא בקרות הרשאה מספקות, חולשת מניעת שירות (DoS) ושימוש במנגנון הצפנה חלש שאפשר עקיפת אימות וקבלת הרשאות Root. לפי קלארוטי, שרשור החולשות עשוי לאפשר לתוקף להשיג גישה מלאה למערכת ניהול המבנה ואף לבצע הרצת קוד מרחוק ללא הזדהות מוקדמת. בנוסף, חלק מממשקי ה-API חשפו מידע רגיש על המערכת ועל רכיבים המחוברים אליה, ללא צורך באימות משתמש.

מעבר לפרטים הטכניים, המחקר חושף שינוי משמעותי באופן שבו יש לחשוב על אבטחת מרכזי נתונים. במשך שנים התמקדו ארגונים בהגנה על שרתים, מסדי נתונים ויישומים. אולם הממצאים של קלארוטי ממחישים כי לעיתים אין צורך לפרוץ כלל למידע עצמו. פגיעה במערכות החשמל, הקירור או ניהול המבנה עשויה להשיג את אותה מטרה: השבתת שירותים.

החשיבות של הנושא גדלה עוד יותר בעידן ה-AI. אשכולות GPU מודרניים צורכים הספקי חשמל עצומים ומייצרים עומסי חום חריגים. כתוצאה מכך, מערכות החשמל והקירור אינן עוד שכבת תמיכה טכנית אלא חלק בלתי נפרד ממנועי המחשוב שעליהם נשענים מודלי בינה מלאכותית. פגיעה בהן עלולה להשבית שירותי AI גם אם אף שרת לא נפרץ.

המחקר מגיע בתקופה שבה מרכזי נתונים הופכים ליעד אסטרטגי. במהלך המלחמה האחרונה תקפה איראן מרכזי נתונים במדינות המפרץ, אירועים שהמחישו כיצד מתקנים אלה נתפסים כיום כחלק מהתשתית הלאומית והכלכלית של מדינות. בעולם שבו ענן, AI ותשתיות דיגיטליות הופכים למשאב אסטרטגי, גם מערכות החשמל, הקירור והבקרה של הדאטה סנטר הופכות לחזית חדשה במאבק הסייבר.

בקלארוטי טוענים כי יש להתייחס למרכזי נתונים כאל מערכות סייבר-פיזיות (Cyber-Physical Systems) לכל דבר. בהתאם לכך, החברה מציעה פתרונות לניטור והגנה על מערכות תפעוליות, מערכות ניהול מבנים ורכיבי תשתית קריטיים. המסר העולה מהמחקר ברור: בעידן ה-AI, הגנה על שרתים בלבד כבר אינה מספיקה. לעיתים דווקא המזגן או יחידת האל-פסק הם אלה שקובעים אם שירות דיגיטלי ימשיך לפעול או יושבת לחלוטין.