Microsoft a avertizat că hackerii rău intenționați exploatează un server web întrerupt, care se găsește în dispozitivele obișnuite de Internet of Things (IoT) pentru a viza organizațiile din sectorul energetic și chiar rețelele energetice în sine.
Într-o analiză publicată de cercetătorii Microsoft aceștia au spus că au descoperit o componentă open-source vulnerabilă în serverul web Boa, care este încă utilizată pe scară largă într-o serie de routere și camere de securitate, precum și în kituri de dezvoltare software (SDK-uri) populare, în ciuda retragerii software-ului în 2005.
Gigantul tehnologic a identificat componenta în timp ce investiga o presupusă intruziune a rețelei electrice din India, detaliată pentru prima dată de Recorded Future în aprilie, unde atacatorii chinezi sponsorizați de stat au folosit dispozitive IoT pentru a obține un punct de sprijin în rețelele de tehnologie operațională (OT) utilizate pentru monitorizarea și controlul sistemelor industriale fizice.
Microsoft a declarat că a identificat un milion de componente de server Boa expuse la internet la nivel global pe parcursul unei perioade de o săptămână, avertizând că componenta vulnerabilă prezintă un „risc pentru lanțul de aprovizionare care poate afecta milioane de organizații și dispozitive”.
Compania a adăugat că continuă să vadă atacatori care încearcă să exploateze defecte Boa, care includ o eroare de dezvăluire a informațiilor de mare severitate (CVE-2021-33558) și o altă eroare arbitrară de acces la fișiere (CVE-2017-9833).
„[Vulnerabilitățile] cunoscute care afectează astfel de componente pot permite unui atacator să colecteze informații despre activele rețelei înainte de a iniția atacuri și să obțină acces la o rețea nedetectată prin obținerea de acreditări valide”, a spus Microsoft, adăugând că acest lucru le poate permite atacatorilor să aibă un „impact mult mai mare” odată ce atacul este inițiat.
Microsoft a spus că cel mai recent atac observat a fost compromiterea Tata Power în octombrie. Această încălcare a dus la publicarea de către grupul de ransomware Hive a datelor furate de la gigantul energetic indian, care includ informații sensibile ale angajaților, desene tehnice, înregistrări financiare și bancare, înregistrări ale clienților și câteva chei private.
„Microsoft continuă să vadă atacatori care încearcă să exploateze vulnerabilitățile Boa dincolo de intervalul de timp al raportului lansat, ceea ce indică faptul că este încă vizat ca un vector de atac”, a spus Microsoft.
Compania a avertizat că atenuarea acestor defecte Boa este dificilă atât din cauza popularității continue a serverului web, acum dispărut, cât și a naturii complexe a modului în care este integrat în lanțul de aprovizionare a dispozitivelor IoT. Microsoft recomandă organizațiilor și operatorilor de rețea să corecteze dispozitivele vulnerabile acolo unde este posibil, să identifice dispozitivele cu componente vulnerabile și să configureze regulile de detectare pentru a identifica activitățile rău intenționate.
Avertismentul Microsoft evidențiază din nou riscul lanțului de aprovizionare reprezentat de defecte ale componentelor de rețea utilizate pe scară largă. Se estimează că Log4Shell, o vulnerabilitate zero-day care a fost identificată anul trecut în Log4j, biblioteca de jurnalizare Apache open-source, ar fi afectat potențial peste trei miliarde de dispozitive.
