Microsoft adverte sobre os riscos do servidor da Web Boa depois que hackers o visam em ataques à rede elétrica

A Microsoft está alertando as organizações sobre os riscos associados ao desligamento do servidor da Web Boa depois que as vulnerabilidades que afetam o software foram aparentemente exploradas por agentes de ameaças em uma operação direcionada ao setor de energia.

Em 2021, a empresa de inteligência de ameaças Recorded Future relatou ter visto um Visando grupos de ameaças chineses ativos operacionais dentro da rede elétrica indiana. Em abril de 2022, a empresa de segurança cibernética publicou um novo relatório descrevendo os ataques lançados por outro agente de ameaças patrocinado pelo estado chinês. contra organizações do setor de energia na Índia.

Os alvos incluíam vários Centros Estaduais de Despacho de Carga (SLDCs) responsáveis ​​por realizar operações de controle de rede e despacho de energia. Esses SLDCs mantêm a frequência e a estabilidade da rede por meio do acesso aos sistemas de controle de supervisão e aquisição de dados (SCADA).

Ao lançar seu relatório em abril, a Recorded Future compartilhou alguns indicadores de comprometimento (IoCs) para ajudar as organizações a detectar possíveis invasões.

A Microsoft analisou os endereços IP incluídos nesses IoCs e determinou que eles hospedavam o Boa, um servidor web de código aberto projetado para aplicativos incorporados. O problema é que o Boa foi descontinuado desde 2005, mas ainda está presente em muitos dispositivos IoT.

“A Microsoft avalia que os servidores Boa estavam sendo executados nos endereços IP da lista de IOCs publicada pela Recorded Future no momento da publicação do relatório e que o ataque à rede elétrica teve como alvo os dispositivos IoT expostos executando o Boa”, disse a Microsoft em um comunicado. postagem publicada na terça-feira.

Análise conduzido pela gigante da tecnologia mostrou que alguns dos endereços IP estavam associados a dispositivos IoT vulneráveis, como roteadores, hospedados por organizações em setores críticos.

UMA Pesquisa Shodan revela centenas de milhares de servidores da Web Boa expostos à Internet, incluindo muitos na Coreia do Sul, Taiwan e Estados Unidos.

Embora o Boa não seja mais mantido, ainda são encontradas vulnerabilidades no servidor web, como o CVE-2017-9833, que permite acesso arbitrário a arquivos, e o CVE-2021-33558, que pode levar à divulgação de informações.

De acordo com a Microsoft, um invasor não autenticado pode explorar essas vulnerabilidades para obter credenciais de usuário e explorá-las para execução remota de código.

Um grande problema com o Boa é que sua presença em um produto pode nem ser conhecida, pois geralmente é incluída em SDKs populares. Por exemplo, um Realtek SDK fornecido para empresas que fabricam roteadores, pontos de acesso e outros dispositivos de gateway inclui o servidor da Web Boa. Deve-se notar que as vulnerabilidades do Realtek SDK são conhecidas por serem explorado em ataques.

“A popularidade do servidor da Web Boa demonstra o risco potencial de exposição de uma cadeia de suprimentos insegura, mesmo quando as melhores práticas de segurança são aplicadas aos dispositivos de rede”, disse a Microsoft. “Atualizações de firmware para dispositivos IoT nem sempre corrigem SDKs ou componentes SOC específicos e a visibilidade e as atualizações dos componentes são limitadas.”

“CVEs conhecidos que afetam esses componentes podem permitir que um invasor colete informações sobre ativos de rede antes de lançar ataques e obter acesso a uma rede não detectada ao obter credenciais válidas. Em redes de infraestrutura crítica, ser capaz de coletar informações não detectadas antes do ataque permite que os invasores tenham um impacto muito maior depois que o ataque é lançado, interrompendo potencialmente operações que podem custar milhões de dólares e afetar milhões de pessoas”, acrescentou.

A Microsoft disse que continua a ver ataques direcionados às vulnerabilidades do Boa.

A Recorded Future disse que, embora não tenha visto nenhuma evidência de que as redes do Sistema de Controle Industrial (ICS) tenham sido comprometidas nos ataques direcionados ao setor de energia da Índia, não poderia descartá-la. Agora, a Microsoft também alertou que o uso de componentes vulneráveis, como o Boa, pode representar riscos para a IoT, bem como para os ambientes OT.

Relacionado: A vulnerabilidade Realtek SDK expõe os roteadores de muitos fornecedores a ataques remotos

Relacionado: Feeds de câmera de segurança expostos devido a falha no SDK usado por muitos fornecedores

Edouard Kovacs (@EduardKovacs) é um editor colaborador da SecurityWeek. Ele trabalhou como professor de informática no ensino médio por dois anos antes de iniciar uma carreira no jornalismo como repórter de segurança da Softpedia. Eduard é bacharel em computação industrial e mestre em técnicas de computação aplicadas à engenharia elétrica.

Colunas anteriores de Eduard Kovacs:
Palavras-chave: