微软警告 Boa Web 服务器存在风险

在影响软件的漏洞显然被威胁行为者在针对能源部门的行动中利用后，微软警告组织有关已停产的 Boa Web 服务器的相关风险。

目标包括几个负责执行电网控制和电力调度操作的州负荷调度中心 (SLDC)。这些 SLDC 通过访问监控和数据采集 (SCADA) 系统来维持电网频率和稳定性。

Recorded Future 在 4 月份发布报告时分享了一些妥协指标 (IoC)，以帮助组织检测潜在的入侵。

微软分析了这些 IoC 中包含的 IP 地址，并确定它们托管了 Boa，这是一种专为嵌入式应用程序设计的开源 Web 服务器。问题是 Boa 自 2005 年起就停产了，但它仍然存在于许多物联网设备中。

“微软评估 Boa 服务器在报告发布时在 Recorded Future 发布的 IOC 列表中的 IP 地址上运行，并且电网攻击针对运行 Boa 的暴露的物联网设备，”微软在发布的博客文章中说。周二。

这家科技巨头进行的一项分析表明，一些 IP 地址与易受攻击的物联网设备相关联，例如关键行业组织所拥有的路由器。

Shodan搜索揭示了数十万个暴露在互联网上的 Boa Web 服务器，其中许多服务器位于韩国、台湾和美国。

虽然 Boa 不再维护，但 Web 服务器中仍然存在漏洞，例如允许任意文件访问的 CVE-2017-9833 和可能导致信息泄露的 CVE-2021-33558。

根据 Microsoft 的说法，未经身份验证的攻击者可以利用这些漏洞获取用户凭据并利用它们进行远程代码执行。

与 Boa 相关的一个主要问题是它在产品中的存在甚至可能不为人所知，因为它通常包含在流行的 SDK 中。例如，为制造路由器、接入点和其他网关设备的公司提供的 Realtek SDK 包括 Boa Web 服务器。值得注意的是，已知 Realtek SDK 漏洞会在攻击中被利用。

“Boa 网络服务器的流行显示了不安全供应链的潜在暴露风险，即使将安全最佳实践应用于网络中的设备也是如此，”微软表示。“更新物联网设备的固件并不总能为 SDK 或特定的 SOC 组件打补丁，而且对组件及其是否可以更新的可见性有限。”

“影响此类组件的已知 CVE 可以让攻击者在发起攻击之前收集有关网络资产的信息，并通过获取有效凭据来访问未被发现的网络。在关键基础设施网络中，能够在攻击发生前收集未被发现的信息，一旦发起攻击，攻击者就会产生更大的影响，可能会破坏可能耗资数百万美元并影响数百万人的运营，”它补充道。

微软表示，它继续看到针对 Boa 漏洞的攻击。

Recorded Future 表示，虽然它没有看到任何工业控制系统 (ICS) 网络在针对印度能源部门的攻击中受到损害的证据，但它不能排除这种可能性。现在，微软还警告说，使用易受攻击的组件（例如 Boa）可能会对物联网以及 OT 环境构成风险。

来自微软的安全建议：

Microsoft 建议组织和网络运营商遵循其网络的最佳实践指南：

尽可能修补易受攻击的设备，以降低整个组织的暴露风险。
利用设备发现和分类，通过启用漏洞评估来识别具有易受攻击组件的设备，这会识别组织网络中未打补丁的设备，并设置工作流以使用Microsoft Defender Vulnerability Management和Microsoft Defender for Endpoint以及Microsoft Defender for IoT等解决方案启动适当的补丁程序。
使用Microsoft Defender External Attack Surface Management等平台将漏洞和风险检测扩展到防火墙之外。客户可以在其清单中识别运行 Boa Web 服务器组件的暴露于 Internet 的基础设施，并使用“攻击面摘要”仪表板下的洞察图块来显示易受CVE-2017-9833攻击的资产。可以在“高严重性观察”下找到该见解。
通过消除与网络中 IoT 设备的不必要的互联网连接来减少攻击面。应用网络分段以防止攻击者在入侵后横向移动并损害资产。物联网和关键设备网络应该用防火墙隔离。
使用主动防病毒扫描来识别设备上的恶意负载。
配置检测规则以尽可能识别恶意活动。安全人员可以使用我们下面的 snort 规则来配置安全解决方案，以使用 RealTek SDK 检测资产上的 CVE-2022-27255。

alert udp any any -> any any (msg:"Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255"; content: "invite"; depth: 6; nocase; content: "sip:"; content: "m=audio "; isdataat: 128,relative; content:!"|0d|"; within: 128;sid:20221031;)