Уязвимости в сетевых компонентах, архитектурных файлах и инструментах разработчиков становятся все более популярными векторами атак для получения доступа к защищенным сетям и устройствам. Внешние инструменты и продукты, которыми управляют поставщики и разработчики, могут представлять угрозу безопасности, особенно для объектов в чувствительных отраслях. Атаки на цепочки поставок программного и аппаратного обеспечения, такие как Log4J и SolarWinds, подчеркнули важность видимости компонентов устройств и проактивной защиты сетей.
Анализ
В отчете, опубликованном компанией Recorded Future в апреле 2022 года, подробно описана предполагаемая деятельность по вторжению в электросети, а в качестве вектора, используемого для проникновения в сети операционных технологий (ОТ) и развертывания вредоносной полезной нагрузки, указаны обычные устройства IoT. В ходе расследования атак исследователи Microsoft выявили уязвимый компонент на всех IP-адресах, опубликованных в качестве IOC, и обнаружили признаки риска для цепочки поставок, который может затронуть миллионы организаций и устройств.
Уязвимым компонентом является веб-сервер Boa, который часто используется для доступа к консолям настроек и управления и экранам входа в устройства. Несмотря на то, что веб-сервер Boa был снят с производства в 2005 году, он по-прежнему используется различными производителями в различных IoT-устройствах и популярных наборах средств разработки программного обеспечения (SDK). Без разработчиков, управляющих веб-сервером Boa, его известные уязвимости могут позволить злоумышленникам бесшумно получить доступ к сетям путем сбора информации из файлов. Более того, пострадавшие могут не знать, что их устройства работают с сервисами, использующими снятый с производства веб-сервер Boa, и что обновления прошивки и последующие патчи не устраняют его известные уязвимости.
Расследование активности атаки
Атака, подробно описанная в отчете Recorded Future, была одной из нескольких попыток вторжения в индийскую критическую инфраструктуру с 2020 года, причем последняя атака на ИТ-активы была подтверждена в октябре 2022 года. По оценке Microsoft, серверы Boa работали на IP-адресах из списка МОК, опубликованного Recorded Future на момент выхода отчета, и атака на электросети была направлена на незащищенные IoT-устройства под управлением Boa.
Далее Microsoft определила, что половина IP-адресов, опубликованных Recorded Future, возвращала подозрительные заголовки HTTP-ответов, что может быть связано с активным развертыванием вредоносного инструмента, идентифицированного Recorded Future. Комбинация Boa и подозрительных заголовков ответов была обнаружена на другом наборе IP-адресов, демонстрирующих поведение, схожее с тем, что было обнаружено Recorded Future. Хотя эти IP-адреса не подтверждены как вредоносные, мы рекомендуем отслеживать их, чтобы убедиться в отсутствии дополнительной подозрительной активности.
Microsoft Defender Threat Intelligence идентифицирует эти IP-адреса как занесенные в список блокировки или подозрительные:
- 122.117.212.65
- 103.58.93.133
- 125.141.38.53
- 14.45.33.239
- 14.55.86.138
- 183.108.133.29
- 183.99.53.180
- 220.94.133.121
- 58.76.177.166
Дальнейшее изучение заголовков показало, что более 10% всех активных IP-адресов, возвращающих заголовки, были связаны с такими критическими отраслями, как нефтяная промышленность и связанные с ней услуги флота, причем многие IP-адреса были связаны с устройствами IoT, такими как маршрутизаторы, с незакрытыми критическими уязвимостями, что указывает на доступный вектор атаки для операторов вредоносного ПО. Большинство подозрительных заголовков HTTP-ответов были получены в течение короткого периода времени - нескольких дней, что навело исследователей на мысль о том, что они могут быть связаны с вторжениями и вредоносной активностью в сетях.
После публикации отчета исследователи Microsoft, отслеживающие опубликованные IP-адреса хостов, заметили, что все IP-адреса были скомпрометированы различными злоумышленниками, использующими различные вредоносные методы. Например, некоторые из IP-адресов были использованы для загрузки разновидности вредоносного ПО семейства Mirai вскоре после выхода отчета. Microsoft также обнаружила свидетельства того, что на различных устройствах с этих IP-адресов предпринимались попытки подключения с использованием стандартных учетных данных методом грубой силы и попытки запуска команд командного интерпретатора. Microsoft продолжает наблюдать попытки злоумышленников использовать уязвимости Boa и после выхода отчета, что указывает на то, что он по-прежнему является объектом атак.
Boa широко распространен через SDK
Веб-сервер Boa широко применяется в различных устройствах, включая IoT-устройства, от маршрутизаторов до камер, и часто используется для доступа к настройкам и консолям управления, а также к экранам входа в систему. Популярность веб-серверов Boa вызывает особое беспокойство, поскольку Boa официально снят с производства с 2005 года. Данные платформы Microsoft Defender Threat Intelligence выявили более 1 миллиона компонентов серверов Boa по всему миру в течение недели, как показано на рисунке ниже:
Веб-серверы Boa по-прежнему широко распространены в разработке устройств IoT, одной из причин этого может быть их включение в популярные SDK, которые содержат важные функции, обеспечивающие работу системы на чипе (SOC), реализованной в микрочипах. Уязвимые компоненты, такие как Boa и SDK, часто распространяются среди клиентов в составе устройств, способствуя уязвимости цепочки поставок. Популярные SDK, например, выпущенные RealTek, используются в SOC, поставляемых компаниям, производящим шлюзовые устройства, такие как маршрутизаторы, точки доступа и повторители. Такие критические уязвимости, как CVE-2021-35395, которая влияла на цифровое администрирование устройств, использующих SDK RealTek, и CVE-2022-27255, уязвимость переполнения с нулевым щелчком, по сообщениям, затрагивают миллионы устройств по всему миру и позволяют злоумышленникам запускать код, компрометировать устройства, развертывать бот-сети и перемещаться по сетям.
Хотя исправления для уязвимостей RealTek SDK доступны, некоторые производители, возможно, не включили их в обновления прошивки своих устройств, и обновления не включают исправления для уязвимостей Boa. Серверы Boa подвержены нескольким известным уязвимостям, включая произвольный доступ к файлам (CVE-2017-9833) и раскрытие информации (CVE-2021-33558). Эти уязвимости могут позволить злоумышленникам удаленно выполнить код после получения доступа к устройству путем чтения файла "passwd" с устройства или обращения к чувствительным URI в веб-сервере для извлечения учетных данных пользователя. Более того, эти уязвимости не требуют аутентификации для использования, что делает их привлекательными целями.
Популярность веб-сервера Boa демонстрирует потенциальный риск, связанный с небезопасной цепочкой поставок, даже если к устройствам в сети применяются передовые методы обеспечения безопасности. Обновление прошивки IoT-устройств не всегда исправляет SDK или конкретные компоненты SOC, и существует ограниченная видимость компонентов и возможности их обновления. Известные CVE, затрагивающие такие компоненты, могут позволить злоумышленнику собрать информацию о сетевых активах до начала атак и получить доступ к сети незамеченным, получив действительные учетные данные. В сетях критической инфраструктуры возможность незамеченного сбора информации до начала атаки позволяет злоумышленникам оказывать гораздо большее воздействие после начала атаки, потенциально нарушая операции, которые могут стоить миллионы долларов и затрагивать миллионы людей.
Рекомендации
Поскольку злоумышленники пытаются найти новые точки опоры во все более защищенных устройствах и сетях, выявление и предотвращение распределенных рисков безопасности через цепочки поставок программного и аппаратного обеспечения, таких как устаревшие компоненты, должно быть приоритетным для организаций. Этот случай демонстрирует важность проактивной практики кибербезопасности и необходимость выявления уязвимых компонентов, которые могут быть использованы злоумышленниками.
Microsoft рекомендует организациям и операторам сетей следовать рекомендациям лучших практик для своих сетей:
- По возможности исправляйте уязвимые устройства, чтобы снизить риски заражения по всей организации.
- Используйте обнаружение и классификацию устройств для выявления устройств с уязвимыми компонентами путем включения оценки уязвимостей, которая позволяет выявить непропатченные устройства в сети организации и установить рабочие процессы для запуска соответствующих процессов исправления с помощью таких решений, как Microsoft Defender Vulnerability Management и Microsoft Defender for Endpoint с Microsoft Defender for IoT.
- Расширьте обнаружение уязвимостей и рисков за пределы межсетевого экрана с помощью таких платформ, как Microsoft Defender External Attack Surface Management. Клиенты могут идентифицировать инфраструктуру, подверженную воздействию Интернета, в которой работают компоненты веб-сервера Boa, в своей инвентаризации и использовать плитку с информацией на панели Attack Surface Summary для обнаружения активов, уязвимых к CVE-2017-9833. Информация находится в разделе High Severity Observations.
Сократите площадь атаки, устранив ненужные интернет-соединения с IoT-устройствами в сети. Применяйте сегментацию сети, чтобы предотвратить боковое перемещение злоумышленника и компрометацию активов после вторжения. Сети IoT и критически важных устройств должны быть изолированы с помощью брандмауэров. - Используйте проактивное антивирусное сканирование для выявления вредоносных полезных нагрузок на устройствах.
- Настройте правила обнаружения для выявления вредоносной активности, когда это возможно. Сотрудники службы безопасности могут использовать приведенное ниже правило snort для настройки решений безопасности на обнаружение CVE-2022-27255 на устройствах, использующих RealTek SDK.
- Примите комплексное решение для IoT и OT, например Microsoft Defender for IoT, для мониторинга устройств, реагирования на угрозы и повышения видимости, чтобы обнаружить и предупредить, когда IoT-устройства с Boa используются в качестве точки входа в сеть, и защитить критическую инфраструктуру.
Indicators of Compromise
IPv4
- 112.171.218.39
- 114.34.10.80
- 114.35.16.182
- 114.35.191.224
- 119.200.211.197
- 121.128.198.233
- 121.151.212.101
- 122.116.165.62
- 122.116.234.73
- 124.216.159.70
- 14.43.108.22
- 175.200.146.227
- 175.208.234.194
- 175.214.193.170
- 182.220.237.217
- 210.123.140.200
- 211.184.160.108
- 220.132.106.193
- 220.133.141.117
- 59.10.140.47
- 59.127.10.132
- 61.74.255.16
SSL Certificate SHA-1
- 0f6afc6e4e383883a6308fcf8d84b14a5bf4ccaf
Snort Signatures
- alert udp any any -> any any any (msg: "Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255"; content: "invite"; depth: 6; nocase; content: "sip:"; content: "m=audio "; isdataat: 128,relative; content:!"|0d|"; within: 128;sid:20221031;)