Microsoft, açık kaynak yazılım (OSS) tedarik zincirinin güvenliği konusunda tüm şirketlere bir uyarı işlevi gören çok özel bir siber güvenlik tehdidi konusunda alarm veriyor.
Microsoft Tehdit İstihbarat Merkezi (MSTIC), kendi soruşturmasını başlattı. Nisan 2022 raporu güvenlik çözümleri sağlayıcısı Recorded Future’dan, iki yıldır Hindistan’ın enerji sektörünü hedef alan “muhtemelen Çin devleti destekli” bir tehdit aktörüyle ilgili.
Kayıtlı Gelecek, 2021’in sonları ile 2022’nin ilk çeyreği arasında gözlemlenen bir düzineden fazla Uzlaşma Ağ Göstergesini (IOC) listeledi. Bunlar, Hindistan enerji sektöründeki birden fazla kuruluşa karşı 38 izinsiz girişte kullanıldı.
Boa web sunucusu 2005 yılında durduruldu
Microsoft, ilgili son etkinliğin Ekim 2022’de olduğunu belirtiyor ve araştırmacılarının Record Future tarafından “IOC’ler olarak yayınlanan tüm IP adreslerinde savunmasız bir bileşen” belirlediklerini ve “milyonlarca kuruluşu ve cihazı etkileyebilecek bir tedarik zinciri riskine” dair kanıt bulduğunu söylüyor. ”
“Savunmasız bileşenin, genellikle ayarlara, yönetim konsollarına ve cihaz oturum açma ekranlarına erişmek için kullanılan Boa web sunucusu olduğunu değerlendirdik. 2005 yılında kullanımdan kaldırılmasına rağmen, Boa web sunucusu, çeşitli popüler IoT (nesnelerin interneti) cihazlarında ve yazılım geliştirme kitlerinde (SDK’ler) farklı satıcılar tarafından uygulanmaya devam ediyor. Boa web sunucusunu geliştiriciler yönetemezse, bilinen güvenlik açıkları saldırganların dosyalardan bilgi toplayarak ağlara sessizce erişmesine olanak verebilir.
Ücretsiz bir yazılım projesi olan Boa web sunucusu 2005 yılında durduruldu. Ancak 17 yıl sonra, çeşitli popüler IoT cihazlarında ve yazılım geliştirme kitlerinde (SDK’ler) hala mevcut. MSTIC’e göre.
Microsoft, Boa’nın IoT cihazlarında popüler olmaya devam ettiğinden şüpheleniyor
Microsoft, “Raporun yayınlandığı sırada Boa sunucularının Recorded Future tarafından yayınlanan CIO listesindeki IP adreslerinde çalıştığını ve elektrik şebekesi saldırısının Boa çalıştıran açıktaki IoT cihazlarını hedef aldığını değerlendiriyor.” dedi.
Boa web sunucusu genellikle ayarlara ve yönetim konsollarına ve cihaz oturum açma ekranlarına erişmek için kullanılır. Ancak Boa artık korunmadığından, hala onu kullanan cihazlar veya SDK’lar, kullanımdan kaldırıldığı tarihten itibaren bilinen tüm güvenlik açıklarını barındıracaktır.
Microsoft, yönlendiriciler gibi düşük güçlü cihazlarda kullanılan mikroçiplerde sistem-on-chip (SOC) işlevleri içeren popüler SDK’lardaki varlığı nedeniyle Boa’nın IoT cihazlarında popüler olmaya devam ettiğinden şüpheleniyor.
“Bu güvenlik açıkları, saldırganların uzaktan kod yürütmesine izin verebilir”
Buna iyi bir örnek, RealTek’in SOC’lerde kullanılan ve yönlendiriciler, erişim noktaları ve tekrarlayıcılar gibi ağ geçitleri üreten şirketlere sağlanan SDK’larıdır. kritik kusur CVE-2021-35395 Boa tabanlı bir yönetim arabirimi içeren RealTek’in Jungle SDK’sı içindi. RealTek, SDK için yamalar yayınlamış olsa da, bazı üreticiler bunları ürün yazılımı güncellemelerine dahil etmemiş olabilir. Dolayısıyla, Microsoft’un endişe duyduğu bir tedarik zinciri riski var.
Microsoft’a göre saldırganlar, dosyalardan bilgi toplayarak ağlara erişim elde etmek için web sunucusu güvenlik açıklarından yararlanabilir. Ek olarak kuruluşlar, Boa kullanarak hizmet çalıştırdıklarını bilmeden ağa bağlı cihazları kullanabilirler.
“RealTek SDK güvenlik açıkları için düzeltmeler mevcut olsa da, bazı satıcılar bunları cihazlarının üretici yazılımı güncellemelerine dahil etmemiş olabilir ve güncellemeler Boa güvenlik açıkları için düzeltmeler içermiyor. Boa sunucuları, rasgele dosyalara erişim de dahil olmak üzere bilinen birkaç güvenlik açığından etkilenir (CVE-2017-9833) ve bilgilerin açıklanması (CVE-2021-33558),” Microsoft dikkat çekiyor.
“Bu güvenlik açıkları, saldırganların cihazın ‘passwd’ dosyasını okuyarak veya bir kullanıcının kimlik bilgilerini almak için web sunucusundaki hassas URI’lere erişerek cihaza erişim sağladıktan sonra uzaktan kod yürütmesine izin verebilir. Ek olarak, bu güvenlik açıklarından yararlanmak için kimlik doğrulaması gerekmez ve bu da onları çekici hedefler haline getirir. »
Kaynak : ZDNet.com