.
A Microsoft levantou um alarme sobre uma ameaça peculiar à segurança cibernética que serve como um aviso para todas as empresas sobre a segurança da cadeia de suprimentos de software de código aberto (OSS).
O Microsoft Threat Intelligence Center (MSTIC) iniciou sua própria investigação sobre um relatório de abril de 2022 do fornecedor de segurança Recorded Future sobre um “provável agente de ameaça patrocinado pelo estado chinês” visando o setor de energia indiano nos últimos dois anos.
A Recorded Future listou mais de uma dúzia de indicadores de rede de comprometimento (IOCs) que observou entre o final de 2021 e o primeiro trimestre de 2022 que foram usados em 38 invasões contra várias organizações no setor de energia da Índia.
A Microsoft observa que a última atividade relacionada foi em outubro de 2022 e diz que seus pesquisadores identificaram um “componente vulnerável em todos os endereços IP publicados como IOCs” pela Record Future e que encontraram evidências de um “risco na cadeia de suprimentos que pode afetar milhões de organizações e dispositivos.”
“Avaliamos que o componente vulnerável é o servidor da Web Boa, que costuma ser usado para acessar configurações, consoles de gerenciamento e telas de login em dispositivos. Apesar de ter sido descontinuado em 2005, o servidor da Web Boa continua a ser implementado por diferentes fornecedores em um variedade de dispositivos IoT e kits de desenvolvimento de software (SDKs) populares. Sem desenvolvedores gerenciando o servidor da Web Boa, suas vulnerabilidades conhecidas podem permitir que invasores obtenham acesso silencioso às redes coletando informações de arquivos”, disse a Microsoft.
Também: Trabalhos de segurança cibernética: cinco maneiras de ajudá-lo a construir sua carreira
O servidor da Web Boa, um projeto de software de código aberto, foi abandonado em 2005, mas 17 anos depois ainda é fornecido em uma variedade de dispositivos IoT e kits de desenvolvimento de software (SDKs) populares, de acordo com o MSTIC.
“A Microsoft avalia que os servidores Boa estavam sendo executados nos endereços IP da lista de IOCs publicada pela Recorded Future no momento do lançamento do relatório e que o ataque à rede elétrica visava dispositivos IoT expostos executando o Boa”, diz a Microsoft.
O servidor da Web Boa costuma ser usado para acessar configurações, consoles de gerenciamento e telas de login em dispositivos.
Mas, como o Boa não é mais mantido, os dispositivos ou kits de desenvolvimento de software (SDKs) que ainda o utilizam abrigarão quaisquer vulnerabilidades conhecidas desde a data em que foi abandonado.
Também: O que, exatamente, é segurança cibernética? E por que isso importa?
A Microsoft suspeita que o Boa continua popular em dispositivos IoT por causa de sua presença em SDKs populares que contêm funções que operam no sistema em chip (SOC) em microchips, usados em dispositivos de baixa potência como roteadores.
Um exemplo são os SDKs RealTek, que são usados em SOCs e fornecidos a empresas que fabricam gateways de rede, como roteadores, pontos de acesso e repetidores. Uma falha crítica CVE-2021-35395 dizia respeito ao Jungle SDK da RealTek, que incluía uma interface de gerenciamento baseada em Boa. Embora a RealTek tenha lançado patches para o SDK, alguns fabricantes podem não tê-los incluído nas atualizações de firmware. Portanto, há um risco na cadeia de suprimentos que preocupa a Microsoft.
Os invasores podem explorar vulnerabilidades no servidor da Web para acessar redes coletando informações de arquivos, de acordo com a Microsoft. Além disso, as organizações podem estar usando dispositivos em rede e não saber que estão executando serviços usando o Boa.
“Embora os patches para as vulnerabilidades do RealTek SDK estejam disponíveis, alguns fornecedores podem não tê-los incluído em suas atualizações de firmware do dispositivo, e as atualizações não incluem patches para as vulnerabilidades do Boa. Os servidores do Boa são afetados por várias vulnerabilidades conhecidas, incluindo acesso arbitrário a arquivos (CVE -2017-9833) e divulgação de informações (CVE-2021-33558)”, observa a Microsoft.
“Essas vulnerabilidades podem permitir que invasores executem código remotamente após obter acesso ao dispositivo, lendo o arquivo “passwd” do dispositivo ou acessando URIs confidenciais no servidor da Web para extrair as credenciais de um usuário. Além disso, essas vulnerabilidades não exigem autenticação para serem exploradas, tornando-as alvos atraentes.”
.
