25.7 C
Uruguay
sábado, diciembre 3, 2022
InicioCiberseguridadMicrosoft: los populares SDK de IoT dejan la infraestructura crítica completamente abierta...

Microsoft: los populares SDK de IoT dejan la infraestructura crítica completamente abierta a los ataques cibernéticos


Esta semana, Microsoft identificó un vector de ataque enorme para deshabilitar los sistemas de control industrial (ICS), que lamentablemente está generalizado en las redes de infraestructura crítica: el servidor web Boa.



El gigante informático ha identificado vulnerabilidades en el servidor como punto de acceso inicial para ataques exitosos en el sector energético indio a principios de este año, llevados a cabo por piratas informáticos chinos. Pero aquí está el truco: es un servidor web que se suspendió desde 2005.

Puede parecer extraño que un servidor al final de su vida útil de casi 20 años siga dando vueltas, pero Boa está incluido en una gama de kits de desarrollo de software (SDK) populares que los desarrolladores de dispositivos de Internet de las cosas usan en su diseño de críticos. componentes para ICS, según Microsoft. Como tal, todavía se usa en innumerables dispositivos IoT para acceder a configuraciones, consolas de administración y pantallas de inicio de sesión para dispositivos en redes industriales, lo que deja la infraestructura crítica vulnerable a ataques a gran escala.

Estos incluyen los SDK lanzados por RealTek que se utilizan en los SOC proporcionados a las empresas que fabrican dispositivos de puerta de enlace como enrutadores, puntos de acceso y repetidores, señalaron los investigadores.

En abril, futuro grabado reportado en ataques al sector energético indio que los investigadores atribuyeron a un actor de amenazas chino rastreado como RedEcho. La actividad estuvo dirigida a organizaciones responsables de llevar a cabo operaciones en tiempo real para el control de la red y el despacho de electricidad dentro de varios estados del norte de la India, y se llevó a cabo durante todo el año.

Resulta que el componente vulnerable de los ataques era el servidor web Boa. De acuerdo con una inteligencia de amenazas de seguridad de Microsoft entrada en el blog publicado el 22 de noviembre, los servidores web y las vulnerabilidades que representan en el componente IoT cadena de suministro a menudo son desconocidos para los desarrolladores y administradores que administran el sistema y sus diversos dispositivos. De hecho, los administradores a menudo no se dan cuenta de que las actualizaciones y los parches no se dirigen al servidor Boa, dijeron los investigadores.

“Sin desarrolladores que administren el servidor web Boa, sus vulnerabilidades conocidas podrían permitir a los atacantes obtener acceso silencioso a las redes al recopilar información de los archivos”, escribieron los investigadores en la publicación.

Haciendo el descubrimiento

Fue necesario investigar un poco para identificar que los servidores Boa fueron los culpables finales de los ataques al sector energético indio, dijeron los investigadores. Primero, notaron que los servidores se ejecutaban en las direcciones IP de la lista de indicadores de compromiso (IoC) publicada por Recorded Future en el momento de la publicación del informe inicial en abril pasado, y también que el ataque a la red eléctrica estaba dirigido a dispositivos IoT expuestos. Corriendo Boa, dijeron.

Además, la mitad de las direcciones IP devolvieron encabezados de respuesta HTTP sospechosos, que podrían estar asociados con el despliegue activo de la herramienta maliciosa que Recorded Future identificó como utilizada en el ataque, señalaron los investigadores.

Una investigación más detallada de los encabezados indicó que más del 10 % de todas las direcciones IP activas que devolvían los encabezados estaban relacionadas con industrias críticas, incluida la industria petrolera y los servicios de flota asociados, con muchas de las direcciones IP asignadas a dispositivos IoT con vulnerabilidades críticas sin parches. Esto destacó “un vector de ataque accesible para los operadores de malware”, según Microsoft.

La pista final fue que la mayoría de los encabezados de respuesta HTTP sospechosos que observaron los investigadores se devolvieron en un breve período de tiempo de varios días, lo que los vinculó con una posible intrusión y actividad maliciosa en las redes, dijeron.




Grandes vulnerabilidades de seguridad en la cadena de suministro

No es ningún secreto que el servidor web de Boa está lleno de agujeros, en particular, incluido el acceso arbitrario a archivos (CVE-2017-9833) y divulgación de información (CVE-2021-33558), que no están parcheados y no necesitan autenticación para explotar, dijeron los investigadores.

“Estas vulnerabilidades pueden permitir a los atacantes ejecutar código de forma remota después de obtener acceso al dispositivo leyendo el archivo ‘contraseña’ del dispositivo o accediendo a URI confidenciales en el servidor web para extraer las credenciales de un usuario”, escribieron.

“Vulnerabilidades críticas como CVE-2021-35395que afectó la administración digital de dispositivos que utilizan el SDK de RealTek, y CVE-2022-27255una vulnerabilidad de desbordamiento sin clic, afecta a millones de dispositivos en todo el mundo y permite a los atacantes lanzar código, comprometer dispositivos, implementar botnets y moverse lateralmente en las redes”, dijeron.

Si bien los parches para las vulnerabilidades de RealTek SDK están disponibles, es posible que algunos proveedores no los hayan incluido en las actualizaciones de firmware de sus dispositivos, y las actualizaciones no incluyen parches para las vulnerabilidades de Boa, factores que también hacen que la existencia de servidores web de Boa en ICS esté lista para ser explotada. agregaron los investigadores.

Actividad y mitigación de amenazas actuales

La investigación de Microsoft indica que los atacantes chinos han apuntado con éxito a los servidores Boa recientemente, a finales de octubre, cuando el grupo de amenazas Hive reclamó un ataque de ransomware en Tata Power en India. Y en su seguimiento continuo de la actividad, los investigadores continuaron viendo atacantes que intentaban explotar las vulnerabilidades de Boa, “lo que indica que todavía está dirigido como un vector de ataque” y seguirá siéndolo mientras estos servidores estén en uso.

Por esta razón, es crucial que los administradores de red de ICS identifiquen cuándo los servidores Boa vulnerables están en uso y corrijan las vulnerabilidades siempre que sea posible, así como también tomen otras medidas para mitigar el riesgo de futuros ataques, dijeron los investigadores.

Los pasos específicos que se pueden tomar incluyen el uso de la detección y clasificación de dispositivos para identificar dispositivos con componentes vulnerables al habilitar evaluaciones de vulnerabilidad que identifican dispositivos sin parches en la red y establecer flujos de trabajo para iniciar procesos de parches apropiados con soluciones.

Los administradores también deben extender la detección de vulnerabilidades y riesgos más allá del firewall para identificar la infraestructura expuesta a Internet que ejecuta los componentes del servidor web Boa, dijeron los investigadores. También pueden reducir la superficie de ataque eliminando conexiones de Internet innecesarias a dispositivos IoT en la red, así como aplicando la práctica de aislar con firewalls todas las redes IoT y de dispositivos críticos.

Otras acciones a considerar para la mitigación incluyen el uso de análisis antivirus proactivos para identificar cargas útiles maliciosas en los dispositivos; configurar reglas de detección para identificar actividades maliciosas siempre que sea posible; y la adopción de una solución integral de IoT y OT para monitorear dispositivos, responder a amenazas y aumentar la visibilidad para detectar y alertar cuando los dispositivos IoT con Boa se utilizan como punto de entrada a una red.



Fuente

Anuncios

- Anuncios -
- Anuncios -

Otras Noticias