Um novo estudo publicado pelo Team82, braço de investigação de ameaças da Claroty (especialista em proteção de sistemas ciberfísicos – CPS), revelou severas vulnerabilidades estruturais em equipamentos essenciais de infraestrutura de data centers. As falhas foram identificadas em dispositivos de fonte de alimentação ininterrupta (UPS) da Vertiv e em controladores de sistemas de climatização (HVAC) da Trane. Se explorados em seu potencial máximo por agentes maliciosos, os defeitos lógicos poderiam causar paradas operacionais catastróficas em instalações de processamento que sustentam a economia digital e operações baseadas em Inteligência Artificial.
Vulnerabilidades em placas de rede UPS ameaçam estabilidade de energia
O primeiro vetor de exposição documentado pela Claroty concentra-se em duas vulnerabilidades críticas localizadas nas placas de gerenciamento de rede dos sistemas UPS da Vertiv. Esses dispositivos de energia são fundamentais para filtrar oscilações da rede elétrica e garantir a continuidade do fornecimento de eletricidade para servidores de alta densidade, roteadores de borda e switches estruturais durante falhas de abastecimento.
De acordo com o relatório técnico do Team82, a exploração bem-sucedida dessas brechas permite o comprometimento remoto dos módulos de conectividade dos no-breaks. Como toda a camada de computação de um data center depende do ecossistema UPS para permanecer online ou para executar desligamentos ordenados em cenários de contingência, a manipulação lógica desses sistemas por criminosos pode resultar no corte abrupto de energia, forçando a indisponibilidade imediata de todo o data center e gerando prejuízos estimados em centenas de milhares de dólares por hora de inatividade.
Cadeia de falhas em controladores Trane permite RCE não autenticada
O segundo segmento da pesquisa expôs uma cadeia de vulnerabilidades graves e de alta explorabilidade no Trane Tracer SC+, um controlador automatizado amplamente utilizado para a gestão predial de sistemas de aquecimento, ventilação e ar-condicionado (HVAC). As fragilidades estavam ocultas na arquitetura de software do equipamento periférico.
Caso sejam acionadas em um ataque direcionado, as falhas de engenharia permitem a execução remota de código (RCE) por agentes externos não autenticados. Esse vetor concede controle total sobre o sistema de climatização a partir da internet pública. O comprometimento da refrigeração em ambientes de alta densidade representa um risco físico imediato: sem o controle térmico adequado e com o desligamento forçado ou superaquecimento dos chillers e condicionadores, os servidores entram em colapso térmico em poucos minutos, ativando travas automáticas de desligamento de emergência do hardware para evitar a queima dos processadores.
Divulgação responsável e priorização de sistemas ciberfísicos
Amir Preminger, CTO da Claroty e líder do Team82, destacou que as descobertas evidenciam a necessidade de uma mudança cultural na governança de segurança de infraestruturas críticas. Para o executivo, os operadores de data centers precisam tratar a proteção de sistemas ciberfísicos (CPS) como prioridade estratégica de negócios, uma vez que incidentes cibernéticos na camada operacional (TO) agora provocam impactos físicos diretos na disponibilidade do ambiente de TI.
Seguindo a política de divulgação responsável, todas as falhas lógicas foram reportadas previamente às equipes de engenharia da Trane e da Vertiv. As fabricantes colaboraram ativamente com o Team82 no desenvolvimento, homologação e liberação dos patches de segurança e atualizações de firmware corretivas antes da publicação oficial do estudo. A orientação para CISOs e gerentes de infraestrutura predial é mapear esses ativos na rede de gerenciamento e aplicar as correções imediatamente, além de isolar o tráfego de monitoramento de utilidades em zonas restritas e protegidas por autenticação de múltiplos fatores (MFA).
