Selon un nouveau rapport de Microsoft, les vulnérabilités logicielles trouvées dans les plates-formes abandonnées depuis près de deux décennies ont été utilisées pour compromettre diverses entités publiques et privées en Inde.
La société a découvert que des opérateurs de réseaux électriques en Inde, un système national d'intervention d'urgence et la filiale d'une société multinationale de logistique étaient tous ciblés, en utilisant des failles trouvées dans le serveur Web Boa (ouvre dans un nueva pestaña).
Les victimes avaient déjà été identifiées dans un rapport d'avril, publié par la société de cybersécurité Recorded Future.
Inclus dans les SDK
Boa est un serveur Web open source à faible encombrement adapté aux applications embarquées. Malgré l'absence de support ou de mises à jour depuis des années, les entreprises l'utilisent toujours pour gérer leurs appareils IoT, et dans ce cas, il a été utilisé pour gérer les caméras DVR/IP faisant face à Internet. Boa a été abandonné en 2005. En utilisant les failles pour accéder aux caméras, les attaquants identifiés comme RedEcho ont installé le logiciel malveillant Shadowpad sur les terminaux cibles et, dans certains cas, ont ajouté l'outil open source FastReverseProxy, pour faire bonne mesure.
Microsoft a déclaré que les serveurs Boa sont toujours disponibles car de nombreux développeurs les incluent dans leurs kits de développement logiciel (SDK). En fait, les données de la plate-forme Microsoft Defender Threat Intelligence indiquent qu'il existe plus d'un million de composants de serveur Boa exposés à Internet.
"Les serveurs de Boa sont affectés par plusieurs vulnérabilités connues, notamment l'accès arbitraire aux fichiers (CVE-2017-9833) et la divulgation d'informations (CVE-2021-33558)", ont déclaré les chercheurs. "Microsoft continue de voir des attaquants tenter d'exploiter les vulnérabilités de Boa au-delà de la période de rapport publiée, indiquant qu'il est toujours ciblé comme vecteur d'attaque."
Les pirates peuvent profiter de ces failles pour exécuter n'importe quel code, à distance, sans nécessiter d'authentification sur les appareils cibles.
La dernière fois que quelqu'un a profité de ces vulnérabilités, c'était le mois dernier, lorsque le groupe de rançongiciels Hive a attaqué Tata Power, la plus grande compagnie d'électricité intégrée de l'Inde.
"L'attaque détaillée dans le rapport Recorded Future était l'une des nombreuses tentatives d'intrusion dans l'infrastructure indienne critique depuis 2020, la dernière attaque contre les actifs informatiques ayant été confirmée en octobre 2022", a confirmé Microsoft.
"Microsoft évalue que les serveurs Boa (ouvre dans un nouvel onglet) fonctionnaient sur des adresses IP de la liste IOC publiée par Recorded Future au moment de la publication du rapport et que l'attaque du réseau électrique ciblait les appareils IoT exposés qui exécutent Boa".
Tata Power aurait omis de payer la demande de rançon.
Via : BleepingComputer (Ouvre dans un nouvel onglet)