Microsoft’tan yeni bir rapora göre, neredeyse yirmi yıldır kullanımdan kaldırılan platformlarda bulunan yazılım açıkları, Hindistan’daki bir dizi kamu ve özel kuruluşu tehlikeye atmak için kullanıldı.
Şirket, Boa web sitesinde bulunan kusurları kullanarak Hindistan’daki elektrik şebekesi operatörlerinin, ulusal bir acil durum müdahale sisteminin ve çok uluslu bir lojistik şirketinin yan kuruluşunun hedef alındığını tespit etti. (yeni sekmede açılır) sunucu.
Kurbanlar daha önce siber güvenlik şirketi Recorded Future tarafından yayınlanan bir Nisan raporunda tanımlanmıştı.
SDK’lara dahildir
Boa, gömülü uygulamalar için uygun, açık kaynaklı, az yer kaplayan bir web sunucusudur. Yıllardır hiçbir destek veya güncelleme almamasına rağmen, işletmeler bunu IoT cihazlarını yönetmek için kullanmaya devam ediyor ve bu durumda internete bakan DVR/IP kameraları yönetmek için kullanılıyordu. Boa 2005 yılında durduruldu. RedEcho olarak tanımlanan saldırganlar, kameralara erişmek için kusurları kullanarak hedef uç noktalara Shadowpad kötü amaçlı yazılımını yüklediler ve bazı durumlarda, iyi bir önlem olarak FastReverseProxy açık kaynak aracını kullandılar.
Microsoft, birçok geliştiricinin bunları yazılım geliştirme kitlerine (SDK) dahil etmesi nedeniyle Boa sunucularının hala bulunabileceğini söyledi. Aslında, Microsoft Defender Tehdit İstihbaratı platform verileri, internete açık bir milyondan fazla Boa sunucu bileşeni olduğunu belirtiyor.
Araştırmacılar, “Boa sunucuları, keyfi dosya erişimi (CVE-2017-9833) ve bilgilerin ifşası (CVE-2021-33558) dahil olmak üzere bilinen birkaç güvenlik açığından etkileniyor” dedi. “Microsoft, yayınlanan raporun zaman çerçevesinin ötesinde Boa güvenlik açıklarından yararlanmaya çalışan saldırganları görmeye devam ediyor ve bu da raporun hala bir saldırı vektörü olarak hedeflendiğini gösteriyor.”
Tehdit aktörleri, hedef cihazlarda kimlik doğrulaması yapmaya gerek kalmadan herhangi bir kodu uzaktan yürütmek için bu kusurlardan yararlanabilir.
Birisinin bu güvenlik açıklarından yararlandığı son kez, Hive fidye yazılımı grubunun Hindistan’ın en büyük entegre enerji şirketi olan Tata Power’a saldırdığı geçen ay görüldü.
Microsoft, “Kaydedilmiş Gelecek raporunda ayrıntılı olarak açıklanan saldırı, 2020’den beri Hindistan’ın kritik altyapısına yönelik birkaç izinsiz giriş girişiminden biriydi ve BT varlıklarına yönelik en son saldırı Ekim 2022’de onaylandı.”
“Microsoft, Boa sunucularının (yeni sekmede açılır) Raporun yayınlandığı sırada Recorded Future tarafından yayınlanan IOC’ler listesindeki IP adreslerinde çalışıyorlardı ve elektrik şebekesi saldırısı, Boa çalıştıran açığa çıkmış IoT cihazlarını hedef aldı.”
Tata Power’ın fidye talebini ödemediği söylendi.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)