Vulnerabilidades em servidor descontinuado desde 2005 despoletam ataques a serviços críticos

A Microsoft descobriu que cibercriminosos estão a explorar vulnerabilidades no servidor web Boa descontinuado desde 2005 e que têm sido utilizadas para atacar organizações no setor da energia. Apesar de ter sido descontinuado e ter várias falhas de segurança, o servidor ainda é utilizado numa variedade de routers e câmaras, assim como em Software Development Kits (SDK) para ter acesso a consolas de gestão e ecrãs de acesso aos dispositivos.

A componente de open source vulnerável foi identificada ao investigar uma suspeita de intrusão a operadoras de redes elétricas indianas, detalhadas pela Recorded Future num relatório de abril, comprometendo um sistema nacional de resposta de emergência e a subsidiárias de uma multinacional de logística. Na altura, os investigadores disseram que o ataque provinha de grupos cibercriminosos patrocinados pela China.

Os especialistas da Microsoft descobriram, então, que os servidores web Boa estavam a correr em todos os endereços IP publicados no relatório da Recorded Future. Assim, os investigadores da Microsoft afirmam que o servidor representa um risco para a cadeia de valor e que mais de um milhão de componentes de servidores Boa expostos foram detetados online a nível global em apenas uma semana. 

“Para além de visarem ativos da rede elétrica, identificámos também o comprometimento de um sistema nacional de resposta a emergências e da filial indiana de uma empresa multinacional de logística pelo mesmo grupo”, afirmou a Recorded Future. “Para tal, o grupo provavelmente comprometeu e cooptou por dispositivos de câmara DVR/IP na Internet para comando e controlo de infeções de malware Shadowpad, bem como a utilização da ferramenta de open-source FastReverseProxy”, acrescentam. 

“Sem os developers que gerem o servidor web Boa, as vulnerabilidades conhecidas podem permitir que os atacantes obtenham acesso às redes de forma silenciosa, recolhendo informações de ficheiros”, de acordo com a Microsoft Security Threat Intelligence. “Além disso, os afetados podem desconhecer que os seus dispositivos executam serviços utilizando o servidor web Boa e que as atualizações de firmware e patches não abordam as vulnerabilidades conhecidas”.

Tendo em conta que o Boa é uma das componentes utilizadas para iniciar e aceder às consolas de gestão desses dispositivos, aumenta significativamente o risco de violação de infraestruturas críticas através de dispositivos vulneráveis e expostos à Internet que executam o servidor web vulnerável. 

“Os servidores Boa são afetados por várias vulnerabilidades conhecidas, incluindo acesso a ficheiros arbitrários (CVE-2017-9833) e divulgação de informação (CVE-2021-33558)”, referem os investigadores da Microsoft, que permitem aos atacantes executar código remotamente sem autenticação. “A Microsoft continua a ver os atacantes a tentar explorar as vulnerabilidades do Boa para além do prazo do relatório divulgado, indicando que são um vetor de ataque”.