Microsoft mengatakan hari ini bahwa kerentanan keamanan yang ditemukan berdampak pada server web yang dihentikan sejak 2005 telah digunakan untuk menargetkan dan membahayakan organisasi di sektor energi.
Seperti yang diungkapkan oleh perusahaan keamanan siber Recorded Future dalam sebuah laporan yang diterbitkan pada bulan April, kelompok peretas China yang didukung negara (termasuk yang dilacak sebagai RedEcho) menargetkan beberapa operator jaringan listrik India, membahayakan sistem tanggap darurat nasional India dan anak perusahaan dari perusahaan logistik multinasional.
Penyerang memperoleh akses ke jaringan internal entitas yang diretas melalui kamera yang terpapar Internet di jaringan mereka sebagai server perintah dan kontrol.
“Selain penargetan aset jaringan listrik, kami juga mengidentifikasi kompromi sistem tanggap darurat nasional dan anak perusahaan India dari perusahaan logistik multinasional oleh kelompok aktivitas ancaman yang sama,” Recorded Future dikatakan.
“Untuk mencapai hal ini, grup kemungkinan besar mengkompromikan dan mengkooptasi perangkat kamera DVR/IP yang menghadap ke internet untuk perintah dan kontrol (C2) dari infeksi malware Shadowpad, serta penggunaan alat open source. FastReverse Proxy“
Serangan terkait dengan kelemahan server web Boa
Sementara Recorded Future tidak memperluas vektor serangan, Microsoft mengatakan hari ini bahwa penyerang mengeksploitasi komponen yang rentan di server web Boa, solusi perangkat lunak yang dihentikan sejak 2015 yang masih digunakan oleh perangkat IoT (dari router hingga kamera).
Boa menjadi salah satu komponen yang digunakan untuk masuk dan mengakses konsol manajemen perangkat IoT, secara signifikan meningkatkan risiko infrastruktur penting dilanggar melalui perangkat yang rentan dan terpapar Internet yang menjalankan server web yang rentan.
Tim Intelijen Ancaman Keamanan Microsoft mengatakan hari ini bahwa server Boa menyebar di seluruh perangkat IoT terutama karena penyertaan server web dalam kit pengembangan perangkat lunak (SDK) populer.
Menurut data platform Microsoft Defender Threat Intelligence, lebih dari 1 juta komponen server Boa yang terpapar internet terdeteksi online di seluruh dunia dalam satu minggu.
.png)
”Server Boa dipengaruhi oleh beberapa kerentanan yang diketahui, termasuk akses file arbitrer (CVE-2017-9833) dan keterbukaan informasi (CVE-2021-33558),” tim Intelijen Ancaman Keamanan Microsoft dikatakan.
“Microsoft terus melihat penyerang mencoba mengeksploitasi kerentanan Boa di luar jangka waktu laporan yang dirilis, menunjukkan bahwa itu masih ditargetkan sebagai vektor serangan.”
Penyerang dapat mengeksploitasi kelemahan keamanan ini tanpa memerlukan otentikasi untuk mengeksekusi kode dari jarak jauh setelah mencuri kredensial dengan mengakses file dengan informasi sensitif di server yang ditargetkan.
Tata Power dilanggar menggunakan kerentanan server web Boa
Dalam salah satu serangan terbaru yang menyalahgunakan kerentanan ini yang diamati oleh Microsoft, ransomware Hive meretas perusahaan listrik terintegrasi terbesar di India, Tata Power, bulan lalu.
“Serangan yang dirinci dalam laporan Recorded Future adalah salah satu dari beberapa upaya penyusupan pada infrastruktur kritis India sejak 2020, dengan serangan terbaru pada aset TI yang dikonfirmasi pada Oktober 2022,” kata Redmond.
“Microsoft menilai bahwa server Boa berjalan pada alamat IP pada daftar IOC yang diterbitkan oleh Recorded Future pada saat rilis laporan dan bahwa serangan jaringan listrik menargetkan perangkat IoT yang menjalankan Boa.”
Tata Power mengungkapkan serangan dunia maya pada “infrastruktur TI yang berdampak pada beberapa sistem TI” di a pengajuan saham pada 14 Oktober tanpa membagikan rincian tambahan mengenai pelaku ancaman di balik insiden tersebut.
Geng ransomware Hive kemudian memposting data yang mereka klaim telah dicuri dari jaringan Tata Power, menunjukkan bahwa negosiasi tebusan gagal.
