Microsoft hat davor gewarnt, dass böswillige Hacker einen eingestellten Webserver ausnutzen, der in gängigen Internet of Things (IoT)-Geräten zu finden ist, um Organisationen im Energiesektor anzugreifen.
In einer Analyse veröffentlicht Am Dienstag gaben Microsoft-Forscher bekannt, dass sie eine anfällige Open-Source-Komponente im Boa-Webserver entdeckt haben, der trotz der Einstellung der Software immer noch in einer Reihe von Routern und Überwachungskameras sowie in beliebten Softwareentwicklungskits (SDKs) verwendet wird im Jahr 2005. Der Technologieriese identifizierte die Komponente, als er zuerst einen mutmaßlichen Eingriff in das indische Stromnetz untersuchte detailliert von Recorded Future im April, wo staatlich geförderte chinesische Angreifer IoT-Geräte nutzten, um in Operational Technology (OT)-Netzwerken Fuß zu fassen, die zur Überwachung und Steuerung physischer Industriesysteme verwendet werden.
Microsoft sagte, es habe über einen Zeitraum von einer Woche weltweit eine Million dem Internet ausgesetzte Boa-Serverkomponenten identifiziert und warnte davor, dass die anfällige Komponente ein „Lieferkettenrisiko darstellt, das Millionen von Organisationen und Geräten betreffen kann“.
Das Unternehmen fügte hinzu, dass Angreifer weiterhin versuchen, Boa-Fehler auszunutzen, zu denen ein hoher Schweregrad gehört Fehler bei der Offenlegung von Informationen (CVE-2021-33558) und eine andere willkürlicher Dateizugriffsfehler (CVE-2017-9833).
„Das Bekannte [vulnerabilities] Die Auswirkung auf solche Komponenten kann es einem Angreifer ermöglichen, Informationen über Netzwerkressourcen zu sammeln, bevor er Angriffe initiiert, und sich unentdeckt Zugang zu einem Netzwerk zu verschaffen, indem er gültige Anmeldeinformationen erhält“, sagte Microsoft und fügte hinzu, dass dies den Angreifern ermöglichen könne, einmal einen „viel größeren Einfluss“ zu haben der Angriff wird eingeleitet.
Microsoft sagte, der jüngste beobachtete Angriff sei die Kompromittierung von Tata Power im Oktober gewesen. Dieser Verstoß führte dazu, dass die Ransomware-Gruppe Hive gestohlene Daten des indischen Energieriesen veröffentlichte, darunter sensible Mitarbeiterinformationen, technische Zeichnungen, Finanz- und Bankunterlagen, Kundenunterlagen und einige private Schlüssel.
„Microsoft sieht weiterhin Angreifer, die versuchen, Boa-Schwachstellen über den Zeitrahmen des veröffentlichten Berichts hinaus auszunutzen, was darauf hindeutet, dass es immer noch als Angriffsvektor ins Visier genommen wird“, sagte Microsoft.
Das Unternehmen hat davor gewarnt, dass es schwierig ist, diese Boa-Fehler zu mildern, sowohl aufgrund der anhaltenden Popularität des inzwischen nicht mehr existierenden Webservers als auch aufgrund der komplexen Art, wie er in die Lieferkette von IoT-Geräten integriert ist. Microsoft empfiehlt Organisationen und Netzwerkbetreibern, anfällige Geräte nach Möglichkeit zu patchen, Geräte mit anfälligen Komponenten zu identifizieren und Erkennungsregeln zu konfigurieren, um böswillige Aktivitäten zu identifizieren.
Die Warnung von Microsoft weist erneut auf das Lieferkettenrisiko hin, das von Fehlern in weit verbreiteten Netzwerkkomponenten ausgeht. Log4Shell, eine Zero-Day-Schwachstelle, die letztes Jahr in Log4j, der Open-Source-Logging-Bibliothek von Apache, identifiziert wurde, hat schätzungsweise mehr als drei Milliarden Geräte betroffen.