微軟警告 Boa Web 服務器存在風險

在影響軟件的漏洞顯然被威脅行為者在針對能源部門的行動中利用后，微軟警告組織有關已停產的 Boa Web 服務器的相關風險。

目標包括幾個負責執行電網控制和電力調度操作的州負荷調度中心 (SLDC)。這些 SLDC 通過訪問監控和數據采集 (SCADA) 系統來維持電網頻率和穩定性。

Recorded Future 在 4 月份發布報告時分享了一些妥協指標 (IoC)，以幫助組織檢測潛在的入侵。

微軟分析了這些 IoC 中包含的 IP 地址，并確定它們托管了 Boa，這是一種專為嵌入式應用程序設計的開源 Web 服務器。問題是 Boa 自 2005 年起就停產了，但它仍然存在于許多物聯網設備中。

“微軟評估 Boa 服務器在報告發布時在 Recorded Future 發布的 IOC 列表中的 IP 地址上運行，并且電網攻擊針對運行 Boa 的暴露的物聯網設備，”微軟在發布的博客文章中說。周二。

這家科技巨頭進行的一項分析表明，一些 IP 地址與易受攻擊的物聯網設備相關聯，例如關鍵行業組織所擁有的路由器。

Shodan搜索揭示了數十萬個暴露在互聯網上的 Boa Web 服務器，其中許多服務器位于韓國、臺灣和美國。

雖然 Boa 不再維護，但 Web 服務器中仍然存在漏洞，例如允許任意文件訪問的 CVE-2017-9833 和可能導致信息泄露的 CVE-2021-33558。

根據 Microsoft 的說法，未經身份驗證的攻擊者可以利用這些漏洞獲取用戶憑據并利用它們進行遠程代碼執行。

與 Boa 相關的一個主要問題是它在產品中的存在甚至可能不為人所知，因為它通常包含在流行的 SDK 中。例如，為制造路由器、接入點和其他網關設備的公司提供的 Realtek SDK 包括 Boa Web 服務器。值得注意的是，已知 Realtek SDK 漏洞會在攻擊中被利用。

“Boa 網絡服務器的流行顯示了不安全供應鏈的潛在暴露風險，即使將安全最佳實踐應用于網絡中的設備也是如此，”微軟表示。“更新物聯網設備的固件并不總能為 SDK 或特定的 SOC 組件打補丁，而且對組件及其是否可以更新的可見性有限。”

“影響此類組件的已知 CVE 可以讓攻擊者在發起攻擊之前收集有關網絡資產的信息，并通過獲取有效憑據來訪問未被發現的網絡。在關鍵基礎設施網絡中，能夠在攻擊發生前收集未被發現的信息，一旦發起攻擊，攻擊者就會產生更大的影響，可能會破壞可能耗資數百萬美元并影響數百萬人的運營，”它補充道。

微軟表示，它繼續看到針對 Boa 漏洞的攻擊。

Recorded Future 表示，雖然它沒有看到任何工業控制系統 (ICS) 網絡在針對印度能源部門的攻擊中受到損害的證據，但它不能排除這種可能性。現在，微軟還警告說，使用易受攻擊的組件（例如 Boa）可能會對物聯網以及 OT 環境構成風險。

來自微軟的安全建議：

Microsoft 建議組織和網絡運營商遵循其網絡的最佳實踐指南：

• 盡可能修補易受攻擊的設備，以降低整個組織的暴露風險。
• 利用設備發現和分類，通過啟用漏洞評估來識別具有易受攻擊組件的設備，這會識別組織網絡中未打補丁的設備，并設置工作流以使用Microsoft Defender Vulnerability Management和Microsoft Defender for Endpoint以及Microsoft Defender for IoT等解決方案啟動適當的補丁程序。
• 使用Microsoft Defender External Attack Surface Management等平臺將漏洞和風險檢測擴展到防火墻之外。客戶可以在其清單中識別運行 Boa Web 服務器組件的暴露于 Internet 的基礎設施，并使用“攻擊面摘要”儀表板下的洞察圖塊來顯示易受CVE-2017-9833攻擊的資產。可以在“高嚴重性觀察”下找到該見解。
• 通過消除與網絡中 IoT 設備的不必要的互聯網連接來減少攻擊面。應用網絡分段以防止攻擊者在入侵后橫向移動并損害資產。物聯網和關鍵設備網絡應該用防火墻隔離。
• 使用主動防病毒掃描來識別設備上的惡意負載。
• 配置檢測規則以盡可能識別惡意活動。安全人員可以使用我們下面的 snort 規則來配置安全解決方案，以使用 RealTek SDK 檢測資產上的 CVE-2022-27255。

alert udp any any -> any any (msg:"Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255"; content: "invite"; depth: 6; nocase; content: "sip:"; content: "m=audio "; isdataat: 128,relative; content:!"|0d|"; within: 128;sid:20221031;)

• 采用全面的 IoT 和 OT 解決方案，如適用于 IoT 的 Microsoft Defender來監控設備、響應威脅并提高可見性，以便在帶有 Boa 的 IoT 設備被用作網絡入口點并保護關鍵基礎設施時檢測和發出警報。