Les vulnérabilités logicielles trouvées dans les plates-formes qui ont été abandonnées depuis près de deux décennies ont été utilisées pour compromettre un certain nombre d’entités publiques et privées en Inde, selon un nouveau rapport de Microsoft.
La société a découvert que des opérateurs de réseaux électriques en Inde, un système national d’intervention d’urgence et la filiale d’une société multinationale de logistique étaient tous ciblés, en utilisant les failles trouvées dans le Web Boa. (s’ouvre dans un nouvel onglet) serveur.
Les victimes avaient déjà été identifiées dans un rapport d’avril, publié par la société de cybersécurité Recorded Future.
Inclus dans les SDK
Boa est un serveur Web open source à faible encombrement, adapté aux applications embarquées. Malgré l’absence d’assistance ou de mises à jour pendant des années, les entreprises l’utilisent toujours pour gérer leurs appareils IoT, et dans ce cas, il a été utilisé pour gérer les caméras DVR/IP faisant face à Internet. Boa a été abandonné en 2005. En utilisant les failles pour accéder aux caméras, les attaquants identifiés comme RedEcho ont installé le logiciel malveillant Shadowpad sur les terminaux cibles et, dans certains cas, ont ajouté l’outil open source FastReverseProxy, pour faire bonne mesure.
Microsoft a déclaré que les serveurs Boa sont toujours disponibles car de nombreux développeurs les incluent dans leurs kits de développement logiciel (SDK). En fait, les données de la plate-forme Microsoft Defender Threat Intelligence indiquent qu’il existe plus d’un million de composants de serveur Boa exposés à Internet.
« Les serveurs Boa sont affectés par plusieurs vulnérabilités connues, notamment l’accès arbitraire aux fichiers (CVE-2017-9833) et la divulgation d’informations (CVE-2021-33558) », ont déclaré les chercheurs. « Microsoft continue de voir des attaquants tenter d’exploiter les vulnérabilités de Boa au-delà de la période du rapport publié, indiquant qu’il est toujours ciblé comme vecteur d’attaque. »
Les auteurs de menaces peuvent tirer parti de ces failles pour exécuter n’importe quel code, à distance, sans avoir besoin de s’authentifier sur les appareils cibles.
La dernière fois que quelqu’un a été repéré profitant de ces vulnérabilités, c’était le mois dernier, lorsque le groupe de rançongiciels Hive a attaqué Tata Power, la plus grande compagnie d’électricité intégrée de l’Inde.
« L’attaque détaillée dans le rapport Recorded Future était l’une des nombreuses tentatives d’intrusion sur l’infrastructure critique indienne depuis 2020, la dernière attaque contre les actifs informatiques ayant été confirmée en octobre 2022 », a confirmé Microsoft.
« Microsoft évalue que les serveurs Boa (s’ouvre dans un nouvel onglet) fonctionnaient sur les adresses IP de la liste des IOC publiée par Recorded Future au moment de la publication du rapport et que l’attaque du réseau électrique ciblait les appareils IoT exposés exécutant Boa. »
Il a été dit que Tata Power n’avait pas payé la demande de rançon.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)