Microsoft bu hafta, ne yazık ki kritik altyapı ağlarında yaygın olan endüstriyel kontrol sistemlerini (ICS) devre dışı bırakmak için açık bir saldırı vektörü belirledi: Boa Web sunucusu.
Bilgi işlem devi, bu yılın başlarında Hindistan enerji sektörüne Çinli bilgisayar korsanları tarafından gerçekleştirilen başarılı saldırılar için ilk erişim noktası olarak sunucudaki güvenlik açıklarını belirledi. Ama önemli olan şu: Bu, 2005’ten beri kullanımdan kaldırılan bir Web sunucusu.
Yaklaşık 20 yıllık, ömrünü tamamlamış bir sunucunun hala ortalıkta dolanması garip gelebilir, ancak Boa, Nesnelerin İnterneti cihaz geliştiricilerinin kritik tasarımlarında kullandıkları bir dizi popüler yazılım geliştirici kitine (SDK) dahildir. Microsoft’a göre ICS bileşenleri. Bu nedenle, endüstriyel ağlardaki cihazlar için ayarlara, yönetim konsollarına ve oturum açma ekranlarına erişmek için hala sayısız IoT cihazında kullanılıyor ve bu da kritik altyapıyı büyük ölçekli saldırılara karşı savunmasız bırakıyor.
Araştırmacılar, yönlendiriciler, erişim noktaları ve tekrarlayıcılar gibi ağ geçidi cihazları üreten şirketlere sağlanan SOC’lerde kullanılan RealTek tarafından yayınlanan SDK’ları da içeriyor.
Nisan ayında Gelecek Kaydedildi rapor edildi Araştırmacıların RedEcho olarak takip edilen Çinli bir tehdit aktörüne atfettiği Hindistan enerji sektörüne yönelik saldırılar. Faaliyet, birkaç kuzey Hindistan eyaletinde şebeke kontrolü ve elektrik dağıtımı için gerçek zamanlı operasyonlar yürütmekten sorumlu kuruluşları hedef aldı ve yıl boyunca gerçekleşti.
Saldırılarda güvenlik açığı bulunan bileşenin Boa Web sunucusu olduğu ortaya çıktı. Bir Microsoft Güvenlik Tehdit İstihbaratına göre Blog yazısı 22 Kasım’da yayınlanan Web sunucuları ve IoT bileşen tedarik zincirinde temsil ettikleri güvenlik açıkları, sistemi ve çeşitli cihazlarını yöneten geliştiriciler ve yöneticiler tarafından genellikle bilinmiyor. Araştırmacılar, aslında, yöneticilerin genellikle güncellemelerin ve yamaların Boa sunucusunu ele almadığını fark etmediğini söyledi.
Araştırmacılar gönderide, “Boa Web sunucusunu yöneten geliştiriciler olmadan, bilinen güvenlik açıkları saldırganların dosyalardan bilgi toplayarak sessizce ağlara erişmesine izin verebilir” diye yazdı.
Keşfi Yapmak
Araştırmacılar, Boa sunucularının Hindistan enerji sektörü saldırılarında nihai suçlu olduğunu belirlemek için biraz araştırma yapılması gerektiğini söyledi. İlk olarak, sunucuların geçtiğimiz Nisan ayında ilk raporun yayınlandığı sırada Recorded Future tarafından yayınlanan risk göstergeleri (IoC’ler) listesindeki IP adreslerinde çalıştığını ve ayrıca elektrik şebekesi saldırısının açığa çıkan IoT cihazlarını hedef aldığını fark ettiler. Boa’yı çalıştırıyorlar, dediler.
Ayrıca araştırmacılar, IP adreslerinin yarısının, Recorded Future’ın saldırıda kullanıldığını tespit ettiği kötü amaçlı aracın aktif dağıtımıyla ilişkili olabilecek şüpheli HTTP yanıt başlıkları döndürdüğünü belirtti.
Başlıkların daha ayrıntılı araştırılması, başlıkları döndüren tüm aktif IP adreslerinin %10’undan fazlasının petrol endüstrisi ve ilgili filo hizmetleri dahil olmak üzere kritik sektörlerle ilgili olduğunu ve IP adreslerinin çoğunun yama uygulanmamış kritik güvenlik açıklarına sahip IoT cihazlarına atandığını gösterdi. Microsoft’a göre bu, “kötü amaçlı yazılım operatörleri için erişilebilir bir saldırı vektörünü” vurguladı.
Son ipucu, araştırmacıların gözlemlediği şüpheli HTTP yanıt başlıklarının çoğunun, birkaç günlük kısa bir süre içinde geri gönderilmiş olmasıydı, bu da onları olası izinsiz giriş ve ağlardaki kötü niyetli faaliyetlerle ilişkilendirdi.
Tedarik Zincirinde Genişleyen Güvenlik Açıkları
Boa Web sunucusunun boşluklarla dolu olduğu bir sır değil – özellikle rastgele dosya erişimi dahil (CVE-2017-9833) ve bilgi ifşası (CVE-2021-33558) – araştırmacılar, yamanın uygulanmadığını ve yararlanmak için kimlik doğrulaması gerektirmediğini söyledi.
“Bu güvenlik açıkları, saldırganların cihazdan ‘passwd’ dosyasını okuyarak veya bir kullanıcının kimlik bilgilerini almak için Web sunucusundaki hassas URI’lere erişerek cihaz erişimi elde ettikten sonra uzaktan kod yürütmesine izin verebilir” diye yazdılar.
“Örneğin kritik güvenlik açıkları CVE-2021-35395RealTek’in SDK’sını kullanan cihazların dijital yönetimini etkileyen ve CVE-2022-27255bir sıfır tıklama taşma güvenlik açığı, bildirildiğine göre dünya çapında milyonlarca cihazı etkiliyor ve saldırganların kod başlatmasına, cihazları tehlikeye atmasına, botnet’leri dağıtmasına ve ağlarda yatay olarak hareket etmesine izin veriyor” dediler.
RealTek SDK güvenlik açıkları için yamalar mevcut olsa da, bazı satıcılar bunları cihazlarının üretici yazılımı güncellemelerine dahil etmemiş olabilir ve güncellemeler Boa güvenlik açıkları için yamalar içermez; araştırmacılar eklendi.
Mevcut Tehdit Faaliyeti ve Azaltma
Microsoft’un araştırmasına göre Çinli saldırganlar, Hive tehdit grubunun Hindistan’da Tata Power’a fidye yazılımı saldırısı düzenlediğini iddia ettiği Ekim ayının sonlarında, Boa sunucularını başarıyla hedef aldı. Araştırmacılar, etkinliği izlemeye devam ederken, saldırganların Boa güvenlik açıklarından yararlanmaya çalıştığını görmeye devam ettiler, bu da “bunun hala bir saldırı vektörü olarak hedeflendiğini” ve bu sunucular kullanımda olduğu sürece öyle olmaya devam edeceklerini gösteriyor.
Araştırmacılar, bu nedenle, ICS ağ yöneticilerinin savunmasız Boa sunucularının ne zaman kullanımda olduğunu belirlemesinin ve güvenlik açıklarını mümkün olan her yerde düzeltmenin yanı sıra gelecekteki saldırılardan kaynaklanan riski azaltmak için başka önlemler almasının çok önemli olduğunu söyledi.
Alınabilecek belirli adımlar arasında, ağdaki yama uygulanmamış cihazları tanımlayan güvenlik açığı değerlendirmelerini etkinleştirerek ve çözümlerle uygun yama işlemlerini başlatmak için iş akışlarını ayarlayarak, güvenlik açığı bulunan bileşenlere sahip cihazları belirlemek için cihaz keşfi ve sınıflandırmasının kullanılması yer alır.
Araştırmacılar, yöneticilerin ayrıca, Boa Web sunucusu bileşenlerini çalıştıran İnternet’e açık altyapıyı belirlemek için güvenlik duvarının ötesinde güvenlik açığı ve risk algılamayı genişletmesi gerektiğini söyledi. Ayrıca ağdaki IoT cihazlarına gereksiz İnternet bağlantılarını ortadan kaldırarak ve tüm IoT ve kritik cihaz ağlarını güvenlik duvarlarıyla izole etme uygulamasını uygulayarak saldırı yüzeyini azaltabilirler.
Hafifletmek için dikkate alınması gereken diğer eylemler arasında, cihazlardaki kötü amaçlı yükleri belirlemek için proaktif antivirüs taramasının kullanılması; mümkün olduğunda kötü amaçlı etkinliği belirlemek için algılama kurallarının yapılandırılması; ve Boa ile IoT cihazları bir ağa giriş noktası olarak kullanıldığında algılamak ve uyarmak için cihazları izlemek, tehditlere yanıt vermek ve görünürlüğü artırmak için kapsamlı bir IoT ve OT çözümünün benimsenmesi.