Populiarūs IoT SDK palieka didelę infrastruktūrą atvirą kibernetinei atakai


Šią savaitę „Microsoft“ nustatė, kad pramoninio valdymo sistemų (ICS) išjungimo atakos vektorius, deja, paplitęs kritinės infrastruktūros tinkluose: „Boa“ žiniatinklio serveris.

Skaičiavimo milžinas nustatė serverio pažeidžiamumą kaip pradinį prieigos tašką sėkmingoms atakoms prieš Indijos energetikos sektorių šių metų pradžioje, kurias įvykdė Kinijos įsilaužėliai. Bet čia yra smalsumas: tai žiniatinklio serveris, kuris buvo nutrauktas nuo 2005 m.

Gali atrodyti keista, kad beveik 20 metų senumo nebeveikiantis serveris vis dar kabo, tačiau Boa yra įtrauktas į daugybę populiarių programinės įrangos kūrėjų rinkinių (SDK), kuriuos daiktų interneto įrenginių kūrėjai naudoja kurdami svarbiausius „Microsoft“ teigimu, ICS komponentai. Todėl jis vis dar naudojamas daugybėje daiktų interneto įrenginių, kad būtų galima pasiekti pramoninių tinklų įrenginių nustatymus, valdymo pultus ir prisijungimo ekranus, todėl kritinė infrastruktūra yra pažeidžiama didelio masto atakoms.

Tai apima „RealTek“ išleistus SDK, naudojamus SOC, teikiamuose įmonėms, gaminančioms šliuzo įrenginius, tokius kaip maršrutizatoriai, prieigos taškai ir kartotuvai, pažymėjo mokslininkai.

Balandžio mėn., Įrašyta ateitis pranešė apie išpuolių prieš Indijos energetikos sektorių, kuriuos mokslininkai priskyrė Kinijos grėsmės veikėjui, sektam kaip RedEcho. Ši veikla buvo skirta organizacijoms, atsakingoms už tinklo valdymo ir elektros tiekimo realiuoju laiku operacijų vykdymą keliose Šiaurės Indijos valstijose, ir tai vyko visus metus.

Pasirodo, kad pažeidžiamas atakų komponentas buvo „Boa“ žiniatinklio serveris. Remiantis „Microsoft“ saugumo grėsmių žvalgyba tinklaraščio straipsnis paskelbti lapkričio 22 d., žiniatinklio serveriai ir jų pažeidžiamumas daiktų interneto komponente tiekimo grandinė kūrėjai ir administratoriai, valdantys sistemą ir įvairius jos įrenginius, dažnai nežino. Tiesą sakant, administratoriai dažnai nesuvokia, kad naujinimai ir pataisymai nėra skirti Boa serveriui, sakė mokslininkai.

„Jei kūrėjai nevaldytų Boa žiniatinklio serverio, žinomi jo pažeidžiamumai gali leisti užpuolikams tyliai gauti prieigą prie tinklų renkant informaciją iš failų“, – pranešime rašė mokslininkai.

Atradimo padarymas

Pasak mokslininkų, prireikė šiek tiek kasinėti, kad nustatytų, jog Boa serveriai buvo didžiausias Indijos energetikos sektoriaus atakų kaltininkas. Pirmiausia jie pastebėjo, kad serveriai veikia IP adresais, esančiais kompromiso rodiklių (IoC) sąraše, kurį paskelbė Recorded Future tuo metu, kai buvo paskelbta pirminė ataskaita praėjusį balandį, ir kad elektros tinklo ataka buvo nukreipta į atvirus daiktų interneto įrenginius. paleido Boa, sakė jie.

Be to, pusė IP adresų grąžino įtartinas HTTP atsakymų antraštes, kurios gali būti susijusios su aktyviu kenkėjiško įrankio, kurį identifikavo „Recorded Future“, naudojimu atakoje, pažymėjo tyrėjai.

Tolesnis antraščių tyrimas parodė, kad daugiau nei 10 % visų aktyvių IP adresų, grąžinančių antraštes, buvo susiję su svarbiomis pramonės šakomis, įskaitant naftos pramonę ir susijusias transporto parko paslaugas, o daugelis IP adresų priskirti daiktų interneto įrenginiams, kuriuose yra nepataisytų kritinių spragų. Tai pabrėžė „prieinamas kenkėjiškų programų operatorių atakų vektorius“, teigia „Microsoft“.

Paskutinis patarimas buvo tai, kad dauguma įtartinų HTTP atsakymų antraščių, kurias pastebėjo mokslininkai, buvo grąžintos per trumpą kelių dienų laikotarpį, o tai susiejo jas su galimu įsibrovimu ir kenkėjiška veikla tinkluose.

Tiekimo grandinės saugumo pažeidžiamumas

Ne paslaptis, kad Boa žiniatinklio serveris yra pilnas spragų, ypač įskaitant savavališką prieigą prie failų (CVE-2017-9833) ir informacijos atskleidimas (CVE-2021-33558) – kurie yra nepataisyti ir jiems nereikia autentifikavimo, sakė mokslininkai.

„Dėl šių pažeidžiamumų užpuolikai gali nuotoliniu būdu vykdyti kodą, kai jie turi prieigą prie įrenginio, nuskaitydami „passwd“ failą iš įrenginio arba pasiekiant jautrius URI žiniatinklio serveryje, kad išgautų vartotojo kredencialus“, – rašė jie.

„Kritiniai pažeidžiamumai, tokie kaip CVE-2021-35395kuris paveikė skaitmeninį įrenginių, naudojančių RealTek SDK, administravimą ir CVE-2022-27255nulinio paspaudimo perpildymo pažeidžiamumas, pranešama, paveikia milijonus įrenginių visame pasaulyje ir leidžia užpuolikams paleisti kodą, pažeisti įrenginius, diegti robotų tinklus ir judėti į šonus tinkluose“, – sakė jie.

Nors RealTek SDK spragų pataisymai yra prieinami, kai kurie pardavėjai galėjo jų neįtraukti į savo įrenginio programinės įrangos naujinius, o naujinimai neapima Boa pažeidžiamumo pataisų – veiksnių, dėl kurių Boa žiniatinklio serveriai ICS taip pat yra subrendę išnaudoti. pridūrė mokslininkai.

Dabartinė grėsmės veikla ir jos mažinimas

„Microsoft“ tyrimai rodo, kad Kinijos užpuolikai sėkmingai nusitaikė į „Boa“ serverius dar spalio pabaigoje avilių grėsmės grupė pareiškė, kad išpirkos reikalaujančios programos ataka prieš Tata Power Indijoje. Ir toliau stebėdami veiklą, tyrėjai ir toliau pastebėjo, kad užpuolikai bando išnaudoti Boa pažeidžiamumą, „rodo, kad jis vis dar yra atakos vektorius“ ir bus toks tol, kol bus naudojami šie serveriai.

Dėl šios priežasties ICS tinklo administratoriams labai svarbu nustatyti, kada naudojami pažeidžiami Boa serveriai, ir, kur įmanoma, pataisyti pažeidžiamumą, taip pat imtis kitų veiksmų, kad sumažintų būsimų atakų riziką, teigė mokslininkai.

Konkretūs veiksmai, kurių galima imtis, apima įrenginių aptikimo ir klasifikavimo naudojimą, siekiant identifikuoti įrenginius su pažeidžiamais komponentais, įgalinant pažeidžiamumo vertinimus, kurie nustato nepataisytus įrenginius tinkle ir nustato darbo eigas, kad būtų inicijuojami tinkami pataisų procesai naudojant sprendimus.

Administratoriai taip pat turėtų išplėsti pažeidžiamumą ir rizikos aptikimą už užkardos ribų, kad nustatytų internete veikiančią infrastruktūrą, kurioje veikia Boa žiniatinklio serverio komponentai, teigė mokslininkai. Jie taip pat gali sumažinti atakos paviršių, pašalindami nereikalingus interneto ryšius su IoT įrenginiais tinkle, taip pat taikydami visų daiktų interneto ir svarbių įrenginių tinklų izoliavimo ugniasienėmis praktiką.

Kiti veiksmai, į kuriuos reikia atsižvelgti siekiant sušvelninti, apima aktyvų antivirusinį nuskaitymą, kad būtų galima nustatyti kenksmingus naudingus įrenginius; aptikimo taisyklių konfigūravimas siekiant nustatyti kenkėjišką veiklą, kai tik įmanoma; ir pritaikyti visapusišką daiktų interneto ir OT sprendimą, skirtą stebėti įrenginius, reaguoti į grėsmes ir padidinti matomumą, kad būtų galima aptikti ir įspėti, kai daiktų interneto įrenginiai su Boa naudojami kaip įėjimo į tinklą taškas.