微軟：IoT 裝置內嵌的 Boa 網頁伺服器逾 20 年未更新 許多企業因此被駭而不自知

微軟威脅情報中心 (Microsoft Threat Intelligence Center, MSTIC) 本周警告一個已終止支援的 Boa 網頁伺服器，可能讓企業被駭入不而自知。而台灣也有不少這類高風險受害者。

2021 年安全廠商 Recorded Future 觀察到有中國駭客組織正瞄準印度電力網格的資產。而在今年 4 月，這家業者又報告，有另一個中國國家駭客對印度能源業發動攻擊。

這波攻擊的目標包括負責電網控制及配送電力的 Stat Load Despatch Centre (SLDC)，SLDC 透過資料採集與監視系統 (supervisory control and data acquisition, SCADA) 系統維護電網頻率及穩定性。當時這項業者也分享了攻擊活動的入侵特徵 (indicator of compromise, IoC) 以供其他企業偵測及預防駭客攻擊。

微軟分析了這些 IoC 中的來源 IP 位址，判斷來自關鍵產業的組織的 IoT 設備，像是路由器等。根據 Shodan 搜尋，顯示這些 IP 有數萬台連網的 Boa 伺服器，分別位於台灣、南韓及美國。

20 幾年沒人維護的 Boa 網頁伺服器

Boa 是早年的開原碼網頁伺服器，2005 年就沒人維護了，想必有不少漏洞，像是允許任意檔案存取的 CVE-2017-9833，或是可能引發資訊外洩的 CVE-2021-33558。

微軟指出，無合法授權的攻擊者可利用這些漏洞取得用戶帳密，再用於遠端程式碼執行 (RCE) 攻擊。

Boa 的問題在於它存在許多其他產品中卻不為人知，因為它通常包在熱門 SDK 中。例如許多路由器、無線基地台和其他閘道裝置常用的 Realtek SDK，就內含 Boa 網頁伺服器。值得一提的是，Realtek SDK 漏洞經常成為駭客攻擊的對象。

微軟指出，Boa 網頁伺服器可能對企業帶來軟體供應鏈安全風險，就算他們的連網裝置都已經實施最佳安全典範 (best practice)，更新 IoT 裝置的韌體並無法修補所有的 SDK 或 SoC 元件漏洞，而且這些元件有沒有漏洞、或能否更新，用戶都無法掌握。

影響這些元件的漏洞將使駭客得以刺採受害企業的網路環境，再發動攻擊，或是藉由蒐集到的有效帳密暗中存取網路。若他們鎖定的是關鍵基礎架構網路，則能造成更大的傷害，像是破壞重大基礎架構的運作造成數百萬美元損失、影響數百萬人。

微軟表示會持續觀察鎖定 Boa 漏洞的攻擊活動。

Recorded Future 指出，雖然目前尚未觀察到印度能源業工控系統 (ICS) 網路被攻擊的證據，但也不能說完全不可能。微軟也警告，若持續使用有漏洞的軟體元件，如 Boa，將使 IoT 或營運科技 (OT) 曝露於被駭風險中。

來源：SecurityWeek