Microsoft varuje: Tento zabudnutý webový server s otvoreným zdrojovým kódom by mohol hackerom umožniť „potichu“ získať prístup k vášmu systému

Spoločnosť Microsoft upozornila na zvláštnu hrozbu kybernetickej bezpečnosti, ktorá slúži ako varovanie pre všetky podniky pred bezpečnosťou dodávateľského reťazca softvéru s otvoreným zdrojovým kódom (OSS).

Microsoft Threat Intelligence Center (MSTIC) spustilo svoje vlastné vyšetrovanie Správa z apríla 2022 od bezpečnostného dodávateľa Recorded Future o „pravdepodobnom čínskom štátom podporovanom“ aktérovi hrozby, ktorý sa posledné dva roky zameriaval na indický energetický sektor.

Spoločnosť Recorded Future uvádzala viac ako tucet sieťových indikátorov kompromisu (IOC), ktoré medzičasom pozorovala 2021 a Q1 2022, ktoré boli použité pri 38 prienikoch proti viacerým organizáciám v indickom energetickom sektore.

Microsoft poznamenáva, že posledná súvisiaca aktivita bola v októbri 2022 a tvrdí, že jeho výskumníci identifikovali „zraniteľnú zložku na všetkých IP adresy publikované ako MOV" organizáciou Record Future a že našla dôkazy o "riziku dodávateľského reťazca, ktoré môže ovplyvniť milióny organizácií a zariadenia."

„Zraniteľnou súčasťou sme vyhodnotili webový server Boa, ktorý sa často používa na prístup k nastaveniam a konzolám na správu a na prihlasovacie obrazovky v zariadeniach. Napriek ukončeniu prevádzky v roku 2005 je webový server Boa naďalej implementovaný rôznymi dodávateľmi v rámci rôznych zariadení internetu vecí a populárnych súprav na vývoj softvéru (SDK). Bez toho, aby vývojári spravovali webový server Boa, by jeho známe zraniteľnosti umožnili útočníkom ticho získať prístup k sieťam zhromažďovaním informácií zo súborov,“ uviedol Microsoft.

tiež: Pracovné miesta v oblasti kybernetickej bezpečnosti: Päť spôsobov, ktoré vám pomôžu vybudovať si kariéru

Webový server Boa, projekt s otvoreným zdrojovým kódom, bol opustený v roku 2005, ale o 17 rokov neskôr sa stále dodáva v rôznych zariadeniach internetu vecí a populárnych súpravách na vývoj softvéru (SDK). podľa MSTIC.

„Microsoft hodnotí, že servery Boa bežali na IP adresách na zozname MOV, ktorý zverejnil Recorded Future na čas zverejnenia správy a že útok na elektrickú sieť sa zameral na vystavené zariadenia internetu vecí, na ktorých beží Boa,“ Microsoft hovorí.

Webový server Boa sa často používa na prístup k nastaveniam a konzolám na správu a prihlasovacím obrazovkám v zariadeniach.

Keďže však Boa už nie je udržiavaný, zariadenia alebo súpravy na vývoj softvéru (SDK), ktoré ho stále používajú, budú obsahovať akékoľvek známe zraniteľnosti od dátumu, keď sa od neho upustilo.

tiež: Čo je to vlastne kybernetická bezpečnosť? A prečo na tom záleží?

Microsoft má podozrenie, že Boa zostáva populárny v zariadeniach internetu vecí kvôli jeho prítomnosti v populárnych súpravách SDK obsahujú funkcie, ktoré fungujú na systéme na čipe (SOC) v mikročipoch, ktoré sa používajú v zariadeniach s nízkym výkonom, ako sú napr smerovačov.

Príkladom sú súpravy RealTek SDK, ktoré sa používajú v SOC a poskytujú sa firmám, ktoré vyrábajú sieťové brány, ako sú smerovače, prístupové body a opakovače. Kritická chyba CVE-2021-35395 sa týkalo súpravy RealTek Jungle SDK, ktorá obsahovala rozhranie na správu založené na Boa. Zatiaľ čo RealTek vydal opravy pre SDK, niektorí výrobcovia ich možno nezahrnuli do aktualizácií firmvéru. Existuje teda riziko dodávateľského reťazca, ktorého sa Microsoft obáva.

Útočníci by podľa Microsoftu mohli zneužiť zraniteľnosť webového servera na prístup k sieti zhromažďovaním informácií zo súborov. Organizácie môžu tiež používať sieťové zariadenia a nemusia vedieť, že prevádzkujú služby pomocou Boa.

„Hoci sú k dispozícii záplaty pre chyby zabezpečenia RealTek SDK, niektorí dodávatelia nemusia zahrnúť ich v aktualizáciách firmvéru zariadenia a aktualizácie neobsahujú opravy pre Boa zraniteľnosti. Servery Boa sú ovplyvnené niekoľkými známymi chybami zabezpečenia vrátane ľubovoľného prístupu k súborom (CVE-2017-9833) a zverejňovanie informácií (CVE-2021-33558), "poznamenáva Microsoft.

„Tieto zraniteľnosti môžu útočníkom umožniť spustiť kód na diaľku po získaní prístupu k zariadeniu čítaním súbor „passwd“ zo zariadenia alebo prístup k citlivým identifikátorom URI na webovom serveri na extrahovanie používateľov poverenia. Navyše tieto zraniteľnosti nevyžadujú na zneužitie žiadnu autentifikáciu, čo z nich robí atraktívne ciele."