Microsoft laat weten dat cybercriminelen kwetsbaarheden in verouderde Boa-webservers misbruiken om elektriciteitsnetbeheerders aan te vallen.

In april onthulde een rapport van securitybedrijf Recorded Future dat meerdere Indiase elektriciteitsnetbeheerders door Chinese misdaadgroepen waren aangevallen. De cybercriminelen raakten het nationale systeem voor noodhulp en het dochterbedrijf van een belangrijke logistieke organisatie.

Record Future suggereerde dat de hackers toegang kregen tot interne netwerken door internet-facing camera-apparatuur te misbruiken als command-and-control (C2) servers. Het rapport wijst uit dat malwarevariant Shadowpad en open-source applicatie FastReverseProxy tijdens de aanvallen werden gebruikt.

Recorded Future ging niet in op de aanvalsvector, maar Microsoft maakte onlangs bekend dat de aanvallers kwetsbaarheden misbruikten in Boa-webservers. Ondersteuning voor Boa kwam in 2015 ten einde, maar de software wordt nog altijd toegepast voor IoT-apparaten als routers en camera’s.

Boa is een van de componenten waarmee systemen en gebruikers inloggen in IoT-beheeromgevingen. Dit verhoogt de dreiging van kwetsbaarheden aanzienlijk. De verouderde webservers kunnen toegang bieden tot kritieke infrastructuur.

Boa-webservers zijn zeer actief

Volgens het Microsoft Security Threat Intelligence-team is Boa veelvoorkomend onder IoT-apparaten omdat de webserver is opgenomen in populaire software development kits (SDK’s). Data van Microsoft suggereert dat er vandaag de dag tot één miljoen internet-facing Boa-servercomponenten actief zijn.

Boa-webservers hebben verschillende kwetsbaarheden, waaronder arbitrary file access (CVE-2017-9833) en data leakage (CVE-2021-33558). Sommige Boa-webservers bevatten gevoelige inloggegevens. Aanvallers kunnen de kwetsbaarheden zonder machtiging misbruiken om op afstand malware uit te voeren op andere systemen.

Tip: Nieuwe phishing-campagne misbruikt zero-day kwetsbaarheid in Windows