惡意黑客利用物聯網設備成功入侵電網

微軟報告揭示，有攻擊者利用某個停止維護的物聯網產業鏈基礎軟件漏洞，成功入侵印度電網，該漏洞目前正被持續利用。

11月25日消息，微軟近期發布一份報告，揭示了使用已停止維護軟件的物聯網設備面臨的風險。從最新案例來看，已經有黑客利用軟件中的漏洞攻擊能源組織。

本周二，微軟研究人員在一份分析報告中透露，他們在Boa Web Server軟件中發現了一個易受攻擊的開源組件，被廣泛應用于一系列路由器、安保攝像頭以及流行的軟件開發工具包（SDK）。

盡管Boa Web Server在2005年就已停止更新，但它仍被廣泛應用，并由此掀起一輪新的危機。由于Boa已經內置到物聯網設備供應鏈的復雜構建方式，防御方其實很難緩解這一安全缺陷。

微軟報告稱，惡意黑客試圖利用Boa Web Server的多個漏洞，包括一個高危級別的信息泄露漏洞（CVE-2021-33558）和一個任意文件訪問漏洞（CVE-2017-9833）。未經身份驗證的攻擊者可以利用這些漏洞獲取用戶憑證，并遠程執行代碼。

“影響該組件的兩個漏洞，可以讓惡意黑客在發起攻擊之前就收集到關于目標網絡資產的信息，并獲取有效憑證以訪問更多未被檢測到的網絡。在關鍵基礎設施網絡中，惡意黑客能夠在攻擊之前收集未檢測的信息。一旦攻擊發起，黑客方就能引發更大影響，甚至可能造成數百萬美元損失、破壞數百萬人的正常生活。”微軟表示。

微軟最初發現這個易受攻擊的組件，是在調查一起針對印度電網的入侵事件中。此前，美國威脅情報公司Recorded Future曾在2021年發布報告，詳細介紹某個國家威脅組織正在將攻擊矛頭指向印度電網內的運營資產。

2022年4月，Recorded Future又發布一份報告，介紹了另一個國家支持的惡意黑客團伙。報告稱，該團伙利用物聯網設備在用于監視/控制物理工業系統的運營技術（OT）網絡上開辟登陸點。

在此之后，微軟在一周內在全球范圍內發現了上百萬個暴露在互聯網上的Boa服務器組件。可以預見，這個易受攻擊的組件很可能給整個世界帶來巨大威脅。

另一個重要問題在于，由于經常被整合在流行的SDK當中，所以很多用戶根本不確定自己的產品中是否存在Boa Web Server。比如Realtek SDK，這款軟件開發工具包在路由器、接入點及其他網關設備制造商中得到廣泛使用，而它正好包含Boa Web服務器。

由于持續觀察到針對Boa漏洞的攻擊，微軟決定就廣泛使用的各網絡組件的安全缺陷發布供應鏈風險警報。