Servidor Web abandonado apresenta riscos de segurança IoT

Pesquisadores da Microsoft alertam que o servidor da Web Boa representa um risco de segurança para a cadeia de suprimentos de dispositivos da Internet das Coisas (IoT). Apesar de sua interrupção e várias vulnerabilidades de segurança, o servidor web é continuamente usado em uma ampla gama de roteadores e câmeras, bem como kits de desenvolvimento de software (SDKs), para acessar consoles de gerenciamento e telas de login de dispositivos.

A Microsoft identificou o componente vulnerável de código aberto enquanto investigava uma suposta invasão na rede elétrica da Índia, detalhada pela Recorded Future em abril, onde os invasores usaram dispositivos IoT como uma forma de obter uma posição segura na tecnologia operacional (OT) de redes. Em uma inspeção mais detalhada, a Microsoft descobriu que os servidores da Web Boa estavam sendo executados em todos os IPs publicados como IoCs em Análise salva de Future. Os pesquisadores da Microsoft disseram que o servidor web, que foi descontinuado em 2005, representava um risco de cadeia de suprimentos de segurança afetando milhões de organizações e dispositivos – e eles identificaram 1 milhão de componentes de servidor Boa expostos à Internet no mundo no espaço de uma semana.

“Sem os desenvolvedores gerenciando o Boa Web Server, suas vulnerabilidades conhecidas podem permitir que invasores obtenham acesso silencioso às redes coletando informações de arquivos”, de acordo com o Microsoft Security Threat Intelligence. em uma análise na terça-feira. “Além disso, os indivíduos afetados podem não saber que seus dispositivos estão executando serviços usando o obsoleto Boa Web Server e que as atualizações de firmware e os patches downstream não abordam suas vulnerabilidades conhecidas”.

Os ataques à infraestrutura crítica indiana detalhados pelo Recorded Future começaram em 2020 e foram observados até outubro, disse a Microsoft. Olhando para os endereços IP listados como IoC pela Recorded Future, os pesquisadores da Microsoft disseram que metade desses endereços retornou cabeçalhos de resposta HTTP suspeitos que podem estar associados à implantação do malware usado no ataque e 10% de todos os endereços ativos retornaram cabeçalhos. estavam ligados a indústrias críticas.

Os pesquisadores da Microsoft descobriram que o ataque à rede elétrica teve como alvo dispositivos IoT expostos executando servidores da Web Boa – e eles continuam a ver invasores tentando explorar as falhas do Boa, mostrando que ainda representa um risco ofensivo. Algumas vulnerabilidades conhecidas do servidor da Web Boa incluem um bug de divulgação de informações de alta gravidade (CVE-2021-33558) e um falha arbitrária de acesso a arquivos de alta gravidade (CVE-2017-9833), que permitem que hackers executem código remotamente e não requerem autenticação para explorar.

“Sem os desenvolvedores rodando o servidor da web Boa, suas vulnerabilidades conhecidas podem permitir que invasores obtenham acesso silencioso às redes coletando informações de arquivos”.

Apesar da gravidade dessas falhas, o gerenciamento de patches downstream é extremamente desafiador devido ao tempo de inatividade do servidor da Web e à natureza complexa de integrá-lo à cadeia de suprimentos do dispositivo IoT. Em muitos casos, os servidores da Web Boa são agrupados em SDKs, que são usados ​​como parte de dispositivos IoT. Esses dispositivos são vendidos para usuários finais, como empresas ou fabricantes.

Isso coloca uma série de problemas. Os fornecedores de dispositivos afetados e os usuários finais podem não saber que seus dispositivos estão executando o componente Web obsoleto Boa, pois a visibilidade dos componentes afetados nos dispositivos IoT é limitada e se eles podem ser atualizados. Ao mesmo tempo, atualizar o firmware dos dispositivos IoT nem sempre corrige componentes vulneráveis ​​específicos, neste caso, falhas nos servidores da Web Boa.

“CVEs conhecidos que afetam esses componentes podem permitir que um invasor colete informações sobre ativos de rede antes de lançar ataques e obtenha acesso a uma rede não detectada ao obter credenciais válidas”, de acordo com os pesquisadores. “Em redes de infra-estrutura crítica, ser capaz de coletar informações não detectadas antes do ataque permite que os invasores tenham um impacto muito maior depois que o ataque é lançado, potencialmente interrompendo operações que podem custar milhões de dólares e afetar milhões de pessoas.”

O complexo ambiente de IoT e seus obstáculos para correção já foram destacados por outros problemas de segurança de IoT. Quando os pesquisadores descobriram nove fendas apelidadas Nome: Naufrágio em pilhas TCP/IP populares usadas por dispositivos conectados, por exemplo, eles avisaram que muitos dispositivos afetados não são gerenciados centralmente e que alguns dispositivos vulneráveis ​​executando o firmware vulnerável são críticos (como dispositivos médicos ou sistemas de controle industrial), o que significa que eles seria mais difícil tirar off-line ao aplicar patches.

Apesar desses desafios, os pesquisadores da Microsoft recomendaram que as organizações corrijam os dispositivos vulneráveis ​​sempre que possível, usem a descoberta de dispositivos para identificar componentes vulneráveis ​​nos dispositivos e eliminem conexões de internet desnecessárias para dispositivos IoT. da rede.

“À medida que os invasores buscam novos pontos de ancoragem em dispositivos e redes cada vez mais seguros, identificar e prevenir riscos de segurança distribuídos por meio de cadeias de suprimentos de software e hardware, como componentes desatualizados, deve ser uma prioridade para as organizações”, disseram os pesquisadores. “Este caso mostra a importância de práticas proativas de segurança cibernética e a necessidade de identificar componentes vulneráveis ​​que podem ser explorados por invasores”.