Threats

Vulnerabilidades em servidor descontinuado desde 2005 despoletam ataques a serviços críticos

Apesar de ter sido descontinuado e ter várias falhas de segurança, o servidor Boa ainda é utilizado em dispositivos IoT, nomeadamente routers e câmaras

25/11/2022

Vulnerabilidades em servidor descontinuado desde 2005 despoletam ataques a serviços críticos

A Microsoft descobriu que cibercriminosos estão a explorar vulnerabilidades no servidor web Boa descontinuado desde 2005 e que têm sido utilizadas para atacar organizações no setor da energia. Apesar de ter sido descontinuado e ter várias falhas de segurança, o servidor ainda é utilizado numa variedade de routers e câmaras, assim como em Software Development Kits (SDK) para ter acesso a consolas de gestão e ecrãs de acesso aos dispositivos.

A componente de open source vulnerável foi identificada ao investigar uma suspeita de intrusão a operadoras de redes elétricas indianas, detalhadas pela Recorded Future num relatório de abril, comprometendo um sistema nacional de resposta de emergência e a subsidiárias de uma multinacional de logística. Na altura, os investigadores disseram que o ataque provinha de grupos cibercriminosos patrocinados pela China.

Os especialistas da Microsoft descobriram, então, que os servidores web Boa estavam a correr em todos os endereços IP publicados no relatório da Recorded Future. Assim, os investigadores da Microsoft afirmam que o servidor representa um risco para a cadeia de valor e que mais de um milhão de componentes de servidores Boa expostos foram detetados online a nível global em apenas uma semana. 

Para além de visarem ativos da rede elétrica, identificámos também o comprometimento de um sistema nacional de resposta a emergências e da filial indiana de uma empresa multinacional de logística pelo mesmo grupo”, afirmou a Recorded Future. “Para tal, o grupo provavelmente comprometeu e cooptou por dispositivos de câmara DVR/IP na Internet para comando e controlo de infeções de malware Shadowpad, bem como a utilização da ferramenta de open-source FastReverseProxy”, acrescentam. 

Sem os developers que gerem o servidor web Boa, as vulnerabilidades conhecidas podem permitir que os atacantes obtenham acesso às redes de forma silenciosa, recolhendo informações de ficheiros”, de acordo com a Microsoft Security Threat Intelligence. “Além disso, os afetados podem desconhecer que os seus dispositivos executam serviços utilizando o servidor web Boa e que as atualizações de firmware e patches não abordam as vulnerabilidades conhecidas”.

Tendo em conta que o Boa é uma das componentes utilizadas para iniciar e aceder às consolas de gestão desses dispositivos, aumenta significativamente o risco de violação de infraestruturas críticas através de dispositivos vulneráveis e expostos à Internet que executam o servidor web vulnerável. 

Os servidores Boa são afetados por várias vulnerabilidades conhecidas, incluindo acesso a ficheiros arbitrários (CVE-2017-9833) e divulgação de informação (CVE-2021-33558)”, referem os investigadores da Microsoft, que permitem aos atacantes executar código remotamente sem autenticação. “A Microsoft continua a ver os atacantes a tentar explorar as vulnerabilidades do Boa para além do prazo do relatório divulgado, indicando que são um vetor de ataque”.

Os ataques a infraestruturas críticas indianas começaram em 2020 e ainda foram observados em outubro. Numa análise aos endereços IP, os investigadores disseram que metade devolveu cabeçalhos de resposta HTTP suspeitos que poderiam estar associados à implementação do malware utilizado no ataque, 10% dos quais estavam relacionados com infraestruturas críticas.

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.