微軟:IoT裝置內嵌的Boa網頁伺服器逾20年未更新 許多企業因此被駭而不自知

微軟威脅情報中心(Microsoft Threat Intelligence Center, MSTIC)本周警告一個已終止支援的Boa網頁伺服器,可能讓企業被駭入不而自知。而台灣也有不少這類高風險受害者。

微軟威脅情報中心(Microsoft Threat Intelligence Center, MSTIC)本周警告一個已終止支援的Boa網頁伺服器,可能讓企業被駭入不而自知。而台灣也有不少這類高風險受害者。

2021年安全廠商Recorded Future觀察到有中國駭客組織正瞄準印度電力網格的資產。而在今年4月,這家業者又報告,有另一個中國國家駭客對印度能源業發動攻擊。

這波攻擊的目標包括負責電網控制及配送電力的Stat Load Despatch Centre (SLDC),SLDC透過資料採集與監視系統(supervisory control and data acquisition, SCADA)系統維護電網頻率及穩定性。當時這項業者也分享了攻擊活動的入侵特徵(indicator of compromise, IoC)以供其他企業偵測及預防駭客攻擊。

微軟分析了這些IoC中的來源IP位址,判斷來自關鍵產業的組織的IoT設備,像是路由器等。根據Shodan搜尋,顯示這些IP有數萬台連網的Boa伺服器,分別位於台灣、南韓及美國。

20幾年沒人維護的Boa網頁伺服器

Boa是早年的開原碼網頁伺服器,2005年就沒人維護了,想必有不少漏洞,像是允許任意檔案存取的CVE-2017-9833,或是可能引發資訊外洩的CVE-2021-33558。

微軟指出,無合法授權的攻擊者可利用這些漏洞取得用戶帳密,再用於遠端程式碼執行(RCE)攻擊。

Boa的問題在於它存在許多其他產品中卻不為人知,因為它通常包在熱門SDK中。例如許多路由器、無線基地台和其他閘道裝置常用的Realtek SDK,就內含Boa網頁伺服器。值得一提的是,Realtek SDK漏洞經常成為駭客攻擊的對象。

微軟指出,Boa網頁伺服器可能對企業帶來軟體供應鏈安全風險,就算他們的連網裝置都已經實施最佳安全典範(best practice),更新IoT裝置的韌體並無法修補所有的SDK或SoC元件漏洞,而且這些元件有沒有漏洞、或能否更新,用戶都無法掌握。

影響這些元件的漏洞將使駭客得以刺採受害企業的網路環境,再發動攻擊,或是藉由蒐集到的有效帳密暗中存取網路。若他們鎖定的是關鍵基礎架構網路,則能造成更大的傷害,像是破壞重大基礎架構的運作造成數百萬美元損失、影響數百萬人。

微軟表示會持續觀察鎖定Boa漏洞的攻擊活動。

Recorded Future指出,雖然目前尚未觀察到印度能源業工控系統(ICS)網路被攻擊的證據,但也不能說完全不可能。微軟也警告,若持續使用有漏洞的軟體元件,如Boa,將使IoT或營運科技(OT)曝露於被駭風險中。

來源:SecurityWeek

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416