Microsoft kommer att inaktivera old school-autentisering för

Sårbarheter i programvara som hittats på plattformar som har övergivits i nästan två decennier har använts för att äventyra olika offentliga och privata enheter i Indien, enligt en ny rapport från Microsoft.

Företaget upptäckte att elnätsoperatörer i Indien, ett nationellt nödberedskapssystem och dotterbolaget till ett multinationellt logistikföretag alla var inriktade på, med hjälp av brister som hittats i Boas webbserver (öppnas i en ny pestaña).

Offren hade tidigare identifierats i en aprilrapport, publicerad av cybersäkerhetsföretaget Recorded Future.

Ingår i SDK:erna

Boa är en liten webbserver med öppen källkod som är lämplig för inbäddade applikationer. Trots att de inte har haft support eller uppdateringar på flera år använder företag det fortfarande för att hantera sina IoT-enheter, och i det här fallet användes det för att hantera Internet-vända DVR/IP-kameror. Boa avbröts 2005. Genom att använda bristerna för att få tillgång till kamerorna installerade angripare som identifierats som RedEcho Shadowpad skadlig kod på målslutpunkter, och i vissa fall lade de till öppen källkod FastReverseProxy-verktyget, för gott skull.

Microsoft sa att Boa-servrar fortfarande är tillgängliga eftersom många utvecklare inkluderar dem i sina mjukvaruutvecklingspaket (SDK). Faktum är att data från Microsoft Defender Threat Intelligence Platform indikerar att det finns över en miljon Boa-serverkomponenter exponerade för Internet.

"Boas servrar påverkas av flera kända sårbarheter, inklusive godtycklig filåtkomst (CVE-2017-9833) och informationsutlämnande (CVE-2021-33558)," sa forskarna. "Microsoft fortsätter att se angripare som försöker utnyttja Boa-sårbarheter utöver den publicerade rapporteringsperioden, vilket indikerar att den fortfarande är inriktad som en attackvektor."

Hackare kan dra fördel av dessa brister för att exekvera valfri kod, på distans, utan att kräva autentisering på målenheterna.

Senast någon sågs utnyttja dessa sårbarheter var förra månaden, när Hive ransomware-gruppen attackerade Tata Power, Indiens största integrerade kraftbolag.

"Attacken som beskrivs i rapporten Recorded Future var ett av många försök till intrång i kritisk indisk infrastruktur sedan 2020, med den senaste attacken mot IT-tillgångar bekräftad i oktober 2022", bekräftade Microsoft.

"Microsoft bedömer att Boa-servrarna (öppnas i en ny flik) kördes på IP-adresser på IOC-listan publicerad av Recorded Future vid tidpunkten för rapportens publicering och att kraftnätsattacken riktade sig mot exponerade IoT-enheter som kör Boa".

Tata Power sades ha misslyckats med att betala kravet på lösen.

Via: BleepingComputer (öppnas i en ny flik)

Dela detta