شرکت های انرژی از طریق نقص در سرور متوقف شده هک شدند

گزارش جدید مایکروسافت می‌گوید آسیب‌پذیری‌های نرم‌افزاری یافت شده در پلتفرم‌هایی که تقریباً دو دهه است متوقف شده‌اند، برای به خطر انداختن تعدادی از نهادهای دولتی و خصوصی در هند مورد استفاده قرار گرفته‌اند.

این شرکت متوجه شد که اپراتورهای شبکه برق در هند، یک سیستم ملی واکنش اضطراری و شرکت تابعه یک شرکت تدارکات چند ملیتی با استفاده از نقص‌های موجود در وب بوآ هدف قرار گرفتند. () سرور

قربانیان قبلاً در گزارش آوریل که توسط شرکت امنیت سایبری Recorded Future منتشر شده بود، شناسایی شده بودند.

در SDK ها گنجانده شده است

Boa یک وب سرور منبع باز با ردپای کوچک است که برای برنامه های تعبیه شده مناسب است. علیرغم دریافت هیچ پشتیبانی یا به‌روزرسانی، برای سال‌ها، کسب‌وکارها همچنان از آن برای مدیریت دستگاه‌های IoT خود استفاده می‌کنند و در این مورد، برای مدیریت دوربین‌های DVR/IP رو به اینترنت استفاده می‌شود. Boa در سال 2005 متوقف شد. با استفاده از نقص‌های دسترسی به دوربین‌ها، مهاجمانی که به عنوان RedEcho شناخته می‌شوند، بدافزار Shadowpad را روی نقاط پایانی هدف نصب کردند و در برخی موارد، ابزار منبع باز FastReverseProxy را برای اندازه‌گیری خوب وارد کردند.

مایکروسافت گفت سرورهای Boa را هنوز می توان یافت زیرا بسیاری از توسعه دهندگان آنها را در کیت های توسعه نرم افزار خود (SDK) قرار می دهند. در واقع، داده های پلتفرم Microsoft Defender Threat Intelligence بیان می کند که بیش از یک میلیون جزء سرور Boa در معرض اینترنت قرار دارد.

محققان گفتند: «سرورهای Boa تحت تأثیر چندین آسیب‌پذیری شناخته‌شده، از جمله دسترسی دلخواه به فایل (CVE-2017-9833) و افشای اطلاعات (CVE-2021-33558) قرار دارند. مایکروسافت همچنان شاهد تلاش مهاجمان برای سوء استفاده از آسیب‌پذیری‌های Boa فراتر از بازه زمانی گزارش منتشر شده است که نشان می‌دهد همچنان به عنوان یک بردار حمله مورد هدف قرار می‌گیرد.

عوامل تهدید می توانند از این نقص ها برای اجرای هر کدی، از راه دور، بدون نیاز به احراز هویت در دستگاه های مورد نظر استفاده کنند.

آخرین باری که فردی در حال استفاده از این آسیب‌پذیری‌ها مشاهده شد، ماه گذشته بود، زمانی که گروه باج‌افزار Hive به تاتا پاور، بزرگترین شرکت برق یکپارچه هند حمله کرد.

مایکروسافت تأیید کرد: “حمله ای که در گزارش آینده ضبط شده توضیح داده شده، یکی از چندین تلاش برای نفوذ به زیرساخت های حیاتی هند از سال 2020 بوده است، با آخرین حمله به دارایی های فناوری اطلاعات در اکتبر 2022.”

مایکروسافت این سرورهای Boa را ارزیابی می کند () بر روی آدرس‌های IP موجود در فهرست IOC‌های منتشر شده توسط Recorded Future در زمان انتشار گزارش اجرا می‌شدند و حمله به شبکه الکتریکی دستگاه‌های IoT در معرض در معرض Boa را هدف قرار می‌داد.

گفته شد تاتا پاور این باج را پرداخت نکرده است.

از طریق: BleepingComputer ()