Microsoft предупреждава: Този забравен уеб сървър с отворен код може да позволи на хакерите да „безшумно“ осъществят достъп до вашата система

Снимка: Getty Images/iStockphoto

Microsoft издаде предупреждение за странна заплаха за киберсигурността, която служи като предупреждение за всички организации относно сигурността на веригата за доставки на софтуер с отворен код (OSS).

Центърът за информация за заплахите на Microsoft (MSTIC) започна собствено разследване на Доклад за април 2022 г Фирмата за сигурност Recorded Future съобщи за „вероятно спонсорирана от китайската държава“ заплаха, насочена към индийския енергиен сектор през последните две години.

Recorded Future изброи повече от дузина мрежови индикатори за компромис (IOC), които наблюдава между края на 2021 г. и първото тримесечие на 2022 г., които са използвани при 38 прониквания срещу различни организации в енергийния сектор на Индия.

Microsoft посочва, че най-скорошната релевантна дейност е била през октомври 2022 г., казва, че нейните изследователи са идентифицирали „уязвим компонент във всички IP адреси, публикувани като IOC“ от Record Future, и че са открили доказателства за „рискове по веригата на доставки, които могат да засегнат милиони организации и устройства.” “

Оценихме, че слабият компонент е уеб сървърът Boa, който често се използва за достъп до настройки, административни конзоли и екрани за влизане в устройства. Въпреки че беше спрян през 2005 г., уеб сървърът Boa все още се внедрява от различни доставчици в различни на устройства. IoT и популярни комплекти за разработка на софтуер (SDK). Без разработчиците да управляват уеб сървъра Boa, известните уязвимости могат да позволят на нападателите да получат достъп до мрежи безшумно чрез събиране на информация от файлове“, каза Microsoft.

също: Кариери в областта на киберсигурността: Пет начина да ви помогнем да изградите кариерата си

Boa Web Server, софтуерен проект с отворен код, беше изоставен през 2005 г., но след 17 години той все още се доставя в различни IoT устройства и популярни комплекти за разработка на софтуер (SDK), Според MSTIC.

„Microsoft изчислява, че сървърите на Boa работят на IP адреси в списъка на IOC, публикуван от Recorded Future по време на издаването на доклада и че атаката на електрическата мрежа е насочена към открити IoT устройства, работещи с Boa“, казва Microsoft.

Уеб сървърът Boa често се използва за достъп до настройки, административни конзоли и екрани за вход в устройства.

Но тъй като Boa вече не се поддържа, хардуерът или SDK, които все още се използват, ще съдържат всички известни уязвимости от датата, на която е бил изоставен.

също: Какво точно е киберсигурността? И защо това е важно?

Microsoft подозира, че Boa все още е популярен в IoT устройствата поради присъствието си в популярните SDK, които съдържат функции на система върху чип (SOC) в микрочипове, използвани в устройства с ниска мощност като рутери.

Пример за това са RealTek SDK, които се използват в SOC и се предоставят на компании, които произвеждат мрежови шлюзове като рутери, точки за достъп и повторители. Фатален недостатък CVE-2021-35395 Включва Jungle SDK на RealTek, който включва интерфейс за управление, базиран на Boa. Въпреки че RealTek пусна пачове за SDK, някои производители може да не са ги включили в актуализациите на фърмуера. По този начин съществува риск от веригата на доставки, за който Microsoft се притеснява.

Нападателите могат да използват уязвимостите на уеб сървъра, за да получат достъп до мрежи, като събират информация от файлове, според Microsoft. Освен това организациите могат да използват устройства, свързани към мрежата, и да не осъзнават, че изпълняват услуги, използващи Boa.

Въпреки че са налични корекции за уязвимости на RealTek SDK, някои доставчици може да не ги включват в актуализации на фърмуера за своите устройства, а актуализациите не включват корекции за уязвимости на Boa. Сървърите на Boa са засегнати от няколко известни уязвимости, включително произволен достъп до файлове (CVE-2017-9833) и разкриване на информация (CVE-2021-33558), Бележки на Microsoft.

Тези уязвимости могат да позволят на атакуващите да изпълнят дистанционно код, след като получат достъп до устройство, като прочетат файла ‘passwd’ от устройството или да получат достъп до чувствителни URI адреси в уеб сървър, за да извлекат потребителски идентификационни данни. Освен това, тези уязвимости не изискват удостоверяване, за да ги експлоатират , което ги прави привлекателни мишени.“