Mittwoch, November 30, 2022

Verwenden Sie immer noch einen abgekündigten Boa-Webserver? Microsoft warnt vor Angriffen auf die Lieferkette

Microsoft warnt davor, dass Systeme, die den längst eingestellten Boa-Webserver verwenden, einem Angriffsrisiko ausgesetzt sein könnten, nachdem eine Reihe von versuchten Eindringlingen in Indiens Stromnetzbetrieb wahrscheinlich die Ausnutzung von Sicherheitslücken in der Technologie beinhaltete.

Forscher der Security Threat Intelligence Unit von Microsoft untersuchten einen April-Bericht des Cybersicherheitsunternehmens Recorded Future über Eingriffsversuche in das indische Stromnetz aus dem Jahr 2020 und zuletzt in ein landesweites Notfallreaktionssystem und eine Niederlassung eines globalen Logistikunternehmens.

Recorded Future schrieb die Angriffe auf das Stromnetz einer chinesischen Bedrohungsgruppe namens RedEcho zu, die die Backdoor-Malware ShadowPad verwendete, um IoT-Geräte zu kompromittieren.

Microsoft-Forscher, die sich mit dem Bericht befassten, fanden eine anfällige Komponente – ​​den Boa-Webserver – auf IP-Adressen, die als Indicators of Compromise (IOC) aufgeführt sind. Sie schrieben diese Woche in ihrer Analyse, dass sie „Beweise für ein Lieferkettenrisiko gefunden haben, das Millionen von Organisationen und Geräten betreffen könnte“.

Boa ist ein Open-Source-Webserver, der für eingebettete Anwendungen entwickelt wurde und für den Zugriff auf Einstellungen, Verwaltungskonsolen und Anmeldebildschirme auf Geräten verwendet wird. Es wurde 2005 eingestellt, wird aber immer noch von Anbietern für eine Reihe von IoT-Geräten und beliebten SDKs verwendet, schrieben sie.

„Ohne Entwickler, die den Boa-Webserver verwalten, könnten seine bekannten Schwachstellen es Angreifern ermöglichen, sich unbemerkt Zugang zu Netzwerken zu verschaffen, indem sie Informationen aus Dateien sammeln“, schreiben die Forscher. „Außerdem sind sich betroffene Personen möglicherweise nicht bewusst, dass auf ihren Geräten Dienste ausgeführt werden, die den eingestellten Boa-Webserver verwenden, und dass nachgelagerte Firmware-Updates und -Patches die bekannten Schwachstellen nicht beheben.“

In diesem Fall untersuchte Microsoft die in der IOC-Liste enthaltenen Recorded Future IP-Adressen und verknüpfte viele von ihnen mit IoT-Geräten wie Routern, die ungepatchte Schwachstellen enthielten. Alle veröffentlichten IP-Adressen wurden von verschiedenen Angreifern mit verschiedenen Taktiken kompromittiert, darunter das Herunterladen einer Variante der Botnet-Malware Mirai IoT, Versuche, Standardanmeldeinformationen für Brute-Force-Angriffe zu verwenden, und Versuche, Shell-Befehle auszuführen.

„Microsoft sieht weiterhin Angreifer, die versuchen, Boa-Schwachstellen über den Zeitraum des veröffentlichten Berichts hinaus auszunutzen, was darauf hindeutet, dass Boa immer noch als Angriffsvektor ins Visier genommen wird“, schrieben die Analysten.

Boa ist immer noch weit verbreitet, wobei Microsoft weltweit über 1 Million Boa-Serverkomponenten entdeckt, die dem Internet ausgesetzt sind. Es ist besonders häufig in IoT-Geräten wie Routern und Kameras.

Ein Grund könnte sein, dass Boa in SDKs verwendet wird, die nicht immer auf dem neuesten Stand sind, selbst wenn die Firmware des IoT-Geräts aktualisiert wird. Es ist auch schwer zu sagen, ob die Komponenten des Geräts aktualisiert werden können oder wurden. Ein Beispiel sind die SDKs von RealTek, die Boa enthalten und in SoCs von Unternehmen verwendet werden, die Gateway-Geräte wie Router, Access Points und Repeater herstellen.

In den letzten Jahren haben Angreifer Geräte ins Visier genommen, die die SDKs von RealTek verwenden.

Zu den bekannten Sicherheitslücken im Boa-Webserver gehören CVE-2017-9833 und CVE-2021-33558, die es Angreifern ermöglichen könnten, Code aus der Ferne auszuführen, nachdem sie sich Zugriff auf das Gerät verschafft haben, indem sie dessen „passwd“-Datei gelesen oder die Benutzeranmeldeinformationen nach dem Zugriff auf sensible URIs gestohlen haben im Webserver. Diese Schwachstellen können ausgenutzt werden, ohne dass eine Benutzerauthentifizierung erforderlich ist.

Die Möglichkeit, unentdeckt Daten aus kritischen Infrastrukturnetzwerken zu sammeln, kann zu äußerst destruktiven Angriffen führen, die Millionen von Dollar kosten und Millionen von Menschen und Unternehmen betreffen.

„Die Popularität des Boa-Webservers zeigt das potenzielle Risiko einer unsicheren Lieferkette, selbst wenn bewährte Sicherheitspraktiken auf Geräte im Netzwerk angewendet werden“, schreiben die Forscher. „Das Aktualisieren der Firmware von IoT-Geräten behebt nicht immer SDKs oder Spezifikationen [SoC] Komponenten und es gibt nur eine begrenzte Sichtbarkeit der Komponenten und ob sie aktualisiert werden können.“

Schwachstellen in der Software-Lieferkette wurden in den letzten Jahren durch Sicherheitsverletzungen bei SolarWinds und Kaseya hervorgehoben und durch die Log4j-Schwachstelle verstärkt. In seinem jährlichen Bericht über Datenschutzverletzungen stellte Verizon fest, dass 62 % der Angriffe mit Geräte- oder Systemverletzungen damit begannen, dass Cyberkriminelle Schwachstellen in Partnersystemen ausnutzten. ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles