Microsoft tire la sonnette d’alarme sur une menace de cybersécurité bien spécifique, qui sert d’avertissement à toutes les entreprises concernant la sécurité de la chaîne d’approvisionnement des logiciels open source (OSS).
Le Microsoft Threat Intelligence Center (MSTIC) a lancé sa propre enquête sur un rapport d’avril 2022 de l’éditeur de solutions de sécurité Recorded Future concernant un acteur menaçant « probablement parrainé par l’Etat chinois » qui cible le secteur énergétique indien depuis deux ans.
Recorded Future a énuméré plus d’une douzaine d’indicateurs de compromission du réseau (IOC) observés entre fin 2021 et le premier trimestre 2022. Ils ont été utilisés dans 38 intrusions contre de multiples organisations du secteur énergétique indien.
Le serveur web Boa a été abandonné en 2005
Microsoft note que la dernière activité connexe remonte à octobre 2022, et indique que ses chercheurs ont identifié un « composant vulnérable sur toutes les adresses IP publiées en tant qu’IOC » par Record Future et qu’ils ont trouvé des preuves d’un « risque de chaîne d’approvisionnement qui peut affecter des millions d’organisations et d’appareils ».
« Nous avons évalué que le composant vulnérable était le serveur web Boa, qui est souvent utilisé pour accéder aux paramètres et aux consoles de gestion et aux écrans de connexion des appareils. Bien qu’il ait été abandonné en 2005, le serveur web Boa continue d’être mis en œuvre par différents fournisseurs à travers une variété d’appareils IoT (internet des objets) et de kits de développement logiciel (SDK) populaires. Si les développeurs ne gèrent pas le serveur web Boa, ses vulnérabilités connues pourraient permettre aux attaquants d’accéder silencieusement aux réseaux en collectant des informations dans les fichiers », explique Microsoft.
Le serveur web Boa, un projet de logiciel libre, a été abandonné en 2005. Mais 17 ans plus tard, il est toujours présent dans une variété de dispositifs IoT et de kits de développement logiciel (SDK) populaires, selon MSTIC.
Microsoft soupçonne que Boa reste populaire dans les appareils IoT
« Microsoft évalue que les serveurs Boa fonctionnaient sur les adresses IP figurant sur la liste des CIO publiée par Recorded Future au moment de la publication du rapport et que l’attaque du réseau électrique a ciblé des dispositifs IoT exposés fonctionnant avec Boa », indique Microsoft.
Le serveur web Boa est souvent utilisé pour accéder aux paramètres et aux consoles de gestion ainsi qu’aux écrans de connexion des appareils. Mais comme Boa n’est plus maintenu, les appareils ou les kits de développement logiciel (SDK) qui l’utilisent encore abriteront toutes les vulnérabilités connues depuis la date de son abandon.
Microsoft soupçonne que Boa reste populaire dans les appareils IoT en raison de sa présence dans des SDK populaires qui contiennent des fonctions fonctionnant sur des systèmes sur puce (SOC) dans des micropuces, utilisées dans des appareils de faible puissance comme les routeurs.
« Ces vulnérabilités peuvent permettre aux attaquants d’exécuter du code à distance »
Les SDK de RealTek, utilisés dans les SOC et fournis aux entreprises qui fabriquent des passerelles réseau comme des routeurs, des points d’accès et des répéteurs, en sont un bon exemple. La faille critique CVE-2021-35395 concernait le SDK Jungle de RealTek, qui comprenait une interface de gestion basée sur Boa. Bien que RealTek ait publié des correctifs pour le SDK, certains fabricants pourraient ne pas les avoir inclus dans les mises à jour de firmware. Il y a donc un risque pour la chaîne d’approvisionnement qui préoccupe Microsoft.
Selon Microsoft, les attaquants pourraient exploiter les vulnérabilités du serveur web pour accéder aux réseaux en collectant des informations dans les fichiers. En outre, les organisations peuvent utiliser des appareils en réseau sans savoir qu’ils exécutent des services utilisant Boa.
« Bien que des correctifs pour les vulnérabilités du RealTek SDK soient disponibles, certains fournisseurs peuvent ne pas les avoir inclus dans les mises à jour du firmware de leurs appareils, et les mises à jour ne comprennent pas de correctifs pour les vulnérabilités de Boa. Les serveurs Boa sont affectés par plusieurs vulnérabilités connues, notamment l’accès à des fichiers arbitraires (CVE-2017-9833) et la divulgation d’informations (CVE-2021-33558) », souligne Microsoft.
« Ces vulnérabilités peuvent permettre aux attaquants d’exécuter du code à distance après avoir obtenu l’accès au périphérique en lisant le fichier « passwd » du périphérique, ou en accédant à des URI sensibles dans le serveur web pour extraire les informations d’identification d’un utilisateur. De plus, ces vulnérabilités ne nécessitent aucune authentification pour être exploitées, ce qui en fait des cibles attrayantes. »
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));