Le vulnerabilità del software trovate in piattaforme che sono state abbandonate per quasi due decenni sono state utilizzate per compromettere varie entità pubbliche e private in India, secondo un nuovo rapporto di Microsoft.
La società ha scoperto che gli operatori della rete elettrica in India, un sistema nazionale di risposta alle emergenze e la filiale di una società di logistica multinazionale sono stati tutti presi di mira, utilizzando i difetti trovati nel server web Boa (si apre in una nuova scheda).
Le vittime erano state precedentemente identificate in un rapporto di aprile, pubblicato dalla società di sicurezza informatica Recorded Future.
Incluso negli SDK
Boa è un web server open source di piccole dimensioni adatto per applicazioni embedded. Nonostante non disponga di supporto o aggiornamenti da anni, le aziende lo utilizzano ancora per gestire i propri dispositivi IoT e, in questo caso, è stato utilizzato per gestire le telecamere DVR/IP rivolte a Internet. Boa è stato interrotto nel 2005. Utilizzando i difetti per ottenere l'accesso alle telecamere, gli aggressori identificati come RedEcho hanno installato il malware Shadowpad sugli endpoint di destinazione e, in alcuni casi, hanno aggiunto lo strumento open source FastReverseProxy, per buona misura.
Microsoft ha affermato che i server Boa sono ancora disponibili perché molti sviluppatori li includono nei loro kit di sviluppo software (SDK). Infatti, i dati della piattaforma Microsoft Defender Threat Intelligence indicano che ci sono oltre un milione di componenti del server Boa esposti a Internet.
"I server di Boa sono interessati da diverse vulnerabilità note, tra cui Arbitrary File Access (CVE-2017-9833) e Information Disclosure (CVE-2021-33558)", hanno affermato i ricercatori. "Microsoft continua a vedere aggressori che tentano di sfruttare le vulnerabilità di Boa oltre il periodo di riferimento pubblicato, indicando che è ancora preso di mira come vettore di attacco".
Gli hacker possono sfruttare questi difetti per eseguire qualsiasi codice, in remoto, senza richiedere l'autenticazione sui dispositivi di destinazione.
L'ultima volta che qualcuno è stato visto approfittare di queste vulnerabilità è stato il mese scorso, quando il gruppo ransomware Hive ha attaccato Tata Power, la più grande compagnia energetica integrata dell'India.
"L'attacco dettagliato nel rapporto Recorded Future è stato uno dei tanti tentativi di intrusione nell'infrastruttura critica indiana dal 2020, con l'ultimo attacco alle risorse IT confermato nell'ottobre 2022", ha confermato Microsoft.
"Microsoft valuta che i server Boa (si apre in una nuova scheda) erano in esecuzione su indirizzi IP nell'elenco IOC pubblicato da Recorded Future al momento della pubblicazione del rapporto e che l'attacco alla rete elettrica ha preso di mira i dispositivi IoT esposti che eseguono Boa".
Si diceva che Tata Power non avesse pagato la richiesta di riscatto.
Via: BleepingComputer (si apre in una nuova scheda)