Las vulnerabilidades de software encontradas en plataformas que han estado descontinuadas durante casi dos décadas se utilizaron para comprometer varias entidades públicas y privadas en India, según un nuevo informe de Microsoft.
La empresa encontró operadores de redes eléctricas en India, un sistema nacional de respuesta a emergencias y la subsidiaria de una empresa multinacional de logística fueron atacados, utilizando fallas encontradas en la web de Boa. (se abre en una pestaña nueva) servidor.
Las víctimas fueron identificadas previamente en un informe de abril, publicado por la empresa de ciberseguridad Recorded Future.
Incluido en los SDK
Boa es un servidor web de código abierto que ocupa poco espacio, adecuado para aplicaciones integradas. A pesar de no recibir soporte ni actualizaciones durante años, las empresas aún lo usan para administrar sus dispositivos IoT y, en este caso, se usó para administrar cámaras DVR/IP con acceso a Internet. Boa se suspendió en 2005. Usando las fallas para acceder a las cámaras, los atacantes identificados como RedEcho instalaron el malware Shadowpad en los puntos finales de destino y, en algunos casos, lanzaron la herramienta de código abierto FastReverseProxy, por si acaso.
Microsoft dijo que todavía se pueden encontrar servidores Boa porque muchos desarrolladores los incluyen en sus kits de desarrollo de software (SDK). De hecho, los datos de la plataforma de inteligencia de amenazas de Microsoft Defender indican que hay más de un millón de componentes del servidor Boa expuestos a Internet.
«Los servidores de Boa se ven afectados por varias vulnerabilidades conocidas, incluido el acceso arbitrario a archivos (CVE-2017-9833) y la divulgación de información (CVE-2021-33558)», dijeron los investigadores. «Microsoft continúa viendo atacantes que intentan explotar las vulnerabilidades de Boa más allá del período de tiempo del informe publicado, lo que indica que todavía es un objetivo como vector de ataque».
Los actores de amenazas pueden aprovechar estas fallas para ejecutar cualquier código, de forma remota, sin necesidad de autenticarse en los dispositivos de destino.
La última vez que se vio a alguien aprovechándose de estas vulnerabilidades fue el mes pasado, cuando el grupo de ransomware Hive atacó a Tata Power, la compañía eléctrica integrada más grande de la India.
«El ataque detallado en el informe Recorded Future fue uno de varios intentos de intrusión en la infraestructura crítica india desde 2020, y el ataque más reciente a los activos de TI se confirmó en octubre de 2022», confirmó Microsoft.
«Microsoft evalúa que los servidores Boa (se abre en una pestaña nueva) se estaban ejecutando en las direcciones IP en la lista de IOC publicada por Recorded Future en el momento de la publicación del informe y que el ataque a la red eléctrica apuntó a dispositivos IoT expuestos que ejecutan Boa».
Se dijo que Tata Power no pagó la demanda de rescate.
Vía: BleepingComputer (se abre en una pestaña nueva)