Согласно новому отчету Microsoft, уязвимости программного обеспечения, обнаруженные в платформах, которые были заброшены в течение почти двух десятилетий, использовались для компрометации различных государственных и частных организаций в Индии.
Компания обнаружила, что операторы электросетей в Индии, национальная система реагирования на чрезвычайные ситуации и дочерняя компания многонациональной логистической компании были атакованы с использованием недостатков, обнаруженных в веб-сервере Boa (открывается в новом сообщении).
Жертвы ранее были идентифицированы в апрельском отчете, опубликованном фирмой по кибербезопасности Recorded Future.
Включено в SDK
Boa — это небольшой веб-сервер с открытым исходным кодом, подходящий для встраиваемых приложений. Несмотря на отсутствие поддержки или обновлений в течение многих лет, компании по-прежнему используют его для управления своими устройствами IoT, и в этом случае он использовался для управления DVR/IP-камерами, выходящими в Интернет. Boa была прекращена в 2005 году. Используя уязвимости для получения доступа к камерам, злоумышленники, идентифицированные как RedEcho, устанавливали вредоносное ПО Shadowpad на целевые конечные точки, а в некоторых случаях добавляли инструмент FastReverseProxy с открытым исходным кодом для надежности.
Microsoft заявила, что серверы Boa по-прежнему доступны, поскольку многие разработчики включают их в свои комплекты разработки программного обеспечения (SDK). На самом деле данные платформы Microsoft Defender Threat Intelligence Platform показывают, что более миллиона компонентов сервера Boa доступны для доступа в Интернет.
«Серверы Boa подвержены нескольким известным уязвимостям, включая произвольный доступ к файлам (CVE-2017-9833) и раскрытие информации (CVE-2021-33558)», — заявили исследователи. «Microsoft продолжает видеть, что злоумышленники пытаются использовать уязвимости Boa после опубликованного отчетного периода, что указывает на то, что он по-прежнему используется как вектор атаки».
Хакеры могут воспользоваться этими недостатками для удаленного выполнения любого кода, не требуя аутентификации на целевых устройствах.
В последний раз кто-либо воспользовался этими уязвимостями в прошлом месяце, когда группа вымогателей Hive атаковала Tata Power, крупнейшую интегрированную энергетическую компанию Индии.
«Атака, подробно описанная в отчете Recorded Future, была одной из многих попыток проникновения в критически важную инфраструктуру Индии с 2020 года, причем последняя атака на ИТ-активы была подтверждена в октябре 2022 года», — подтвердила Microsoft.
«Microsoft оценивает, что серверы Boa (открывается в новой вкладке) работали на IP-адресах из списка IOC, опубликованного Recorded Future на момент публикации отчета, и что атака на энергосистему была нацелена на открытые устройства IoT, которые запускают Boa».
Сообщается, что Tata Power не выплатила требование о выкупе.
Через: BleepingComputer (открывается в новой вкладке)