Энергетические компании взломаны из-за уязвимостей в снятом с производства сервере
23 ноября 2022 г.Уязвимости программного обеспечения, обнаруженные в платформах, поддержка которых была прекращена почти два десятилетия, использовались для компрометации ряда государственных и частных организаций в Индии, говорится в новом отчете Microsoft.
Компания обнаружила операторов электросетей. в Индии национальная система реагирования на чрезвычайные ситуации и дочерняя компания многонациональной логистической компании были атакованы с использованием недостатков, обнаруженных в Boa веб-сервер.
Жертвы были ранее идентифицированы в апрельском отчете, опубликованном компанией по кибербезопасности Recorded Future.
Включено в SDK
Boa — это с открытым исходным кодом небольшой веб-сервер, подходящий для встроенных приложений. Несмотря на отсутствие поддержки или обновлений в течение многих лет, предприятия по-прежнему используют его для управления своими устройствами IoT, и в этом случае он использовался для управления DVR/IP-камерами, выходящими в Интернет. Boa была прекращена в 2005 году. Используя уязвимости для доступа к камерам, злоумышленники, идентифицированные как RedEcho, устанавливали вредоносное ПО Shadowpad на целевые конечные точки, а в некоторых случаях для верности использовали инструмент с открытым исходным кодом FastReverseProxy.
Microsoft заявила, что серверы Boa все еще можно найти, поскольку многие разработчики включают их в свои комплекты разработки программного обеспечения (SDK). На самом деле, согласно данным платформы Microsoft Defender Threat Intelligence, существует более миллиона компонентов сервера Boa, доступных в Интернете.
"Серверы Boa подвержены нескольким известным уязвимостям, включая произвольный доступ к файлам (CVE-2017- 9833) и раскрытие информации (CVE-2021-33558)», — заявили исследователи. «Microsoft по-прежнему видит злоумышленников, пытающихся использовать уязвимости Boa вне временных рамок, указанных в опубликованном отчете, что указывает на то, что они по-прежнему используются в качестве вектора атаки».
Субъекты угроз могут использовать эти уязвимости для удаленного выполнения любого кода. , без необходимости аутентификации на целевых устройствах.
В последний раз кто-то использовал эти уязвимости в прошлом месяце, когда Hive вымогатель группа атаковала Tata Power, крупнейшую интегрированную энергетическую компанию Индии.
"Атака, подробно описанная в отчете Recorded Future, была одной из нескольких попыток вторжения в критическую инфраструктуру Индии с 2020 года, при этом последняя атака на ИТ-активы была подтверждена в октябре 2022 года", – подтвердила Microsoft.
"Microsoft считает, что серверы Boa работали на IP-адресах в списке IOC, опубликованном Recorded Future на момент выпуска отчета, и что атака на электросеть была нацелена на открытые устройства IoT, на которых работает Boa».
Говорилось, что Tata Power не заплатила требование о выкупе. .
- Это лучшая защита конечных точек на данный момент.
Через: BleepingComputer
Оригинал