Las vulnerabilidades de software encontradas en plataformas que han sido abandonadas durante casi dos décadas se han utilizado para comprometer a varias entidades públicas y privadas en India, según un nuevo informe de Microsoft.
La société a découvert que des opérateurs de réseaux électriques en Inde, un système national d'intervention d'urgence et la filiale d'une société multinationale de logistique étaient tous ciblés, en utilisant des failles trouvées dans le serveur Web Boa (ouvre dans un nueva pestaña).
Las víctimas habían sido identificadas previamente en un informe de abril, publicado por la firma de ciberseguridad Recorded Future.
Incluido en los SDK
Boa es un servidor web de código abierto de tamaño reducido adecuado para aplicaciones integradas. A pesar de no tener soporte ni actualizaciones durante años, las empresas aún lo usan para administrar sus dispositivos IoT y, en este caso, se usó para administrar cámaras DVR/IP orientadas a Internet. Boa se suspendió en 2005. Usando las fallas para obtener acceso a las cámaras, los atacantes identificados como RedEcho instalaron el malware Shadowpad en los puntos finales de destino y, en algunos casos, agregaron la herramienta de código abierto FastReverseProxy, por si acaso.
Microsoft dijo que los servidores Boa todavía están disponibles porque muchos desarrolladores los incluyen en sus kits de desarrollo de software (SDK). De hecho, los datos de Microsoft Defender Threat Intelligence Platform indican que hay más de un millón de componentes del servidor Boa expuestos a Internet.
"Los servidores de Boa se ven afectados por varias vulnerabilidades conocidas, incluido el acceso arbitrario a archivos (CVE-2017-9833) y la divulgación de información (CVE-2021-33558)", dijeron los investigadores. "Microsoft continúa viendo atacantes que intentan explotar las vulnerabilidades de Boa más allá del período de informe publicado, lo que indica que todavía está siendo atacado como vector de ataque".
Los piratas informáticos pueden aprovechar estas fallas para ejecutar cualquier código, de forma remota, sin necesidad de autenticarse en los dispositivos de destino.
La última vez que se vio a alguien aprovechándose de estas vulnerabilidades fue el mes pasado, cuando el grupo de ransomware Hive atacó a Tata Power, la compañía de energía integrada más grande de la India.
"El ataque detallado en el informe Recorded Future fue uno de los muchos intentos de intrusión en la infraestructura crítica india desde 2020, y el último ataque a los activos de TI se confirmó en octubre de 2022", confirmó Microsoft.
"Microsoft evalúa que los servidores Boa (se abre en una nueva pestaña) se ejecutaban en direcciones IP de la lista de IOC publicada por Recorded Future en el momento de la publicación del informe y que el ataque a la red eléctrica apuntó a dispositivos IoT expuestos que ejecutan Boa".
Se dijo que Tata Power no pagó la demanda de rescate.
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)