Microsoft a sonné l’alarme concernant une menace de cybersécurité particulière qui sert d’avertissement à toutes les entreprises concernant la sécurité de la chaîne d’approvisionnement des logiciels open source (OSS).
Le Microsoft Threat Intelligence Center (MSTIC) a lancé sa propre enquête sur un Rapport d’avril 2022 par le fournisseur de sécurité Recorded Future à propos d’un acteur menaçant “probablement parrainé par l’État chinois” ciblant le secteur de l’électricité indien au cours des deux dernières années.
Recorded Future a répertorié plus d’une douzaine d’indicateurs de réseau de compromis (IOC) qu’il avait observés entre la fin de 2021 et le premier trimestre de 2022 qui ont été utilisés dans 38 intrusions contre plusieurs organisations du secteur de l’énergie en Inde.
Microsoft note que la dernière activité connexe remonte à octobre 2022 et affirme que ses chercheurs ont identifié un “composant vulnérable sur toutes les adresses IP publiées en tant qu’IOC” par Record Future et qu’il a trouvé des preuves d’un “risque de chaîne d’approvisionnement pouvant affecter des millions d’organisations et dispositifs.”
“Nous avons évalué que le composant vulnérable était le serveur Web Boa, qui est souvent utilisé pour accéder aux paramètres et aux consoles de gestion et aux écrans de connexion des appareils. Bien qu’il ait été interrompu en 2005, le serveur Web Boa continue d’être mis en œuvre par différents fournisseurs à travers un variété d’appareils IoT et de kits de développement logiciel (SDK) populaires. Sans les développeurs qui gèrent le serveur Web Boa, ses vulnérabilités connues pourraient permettre aux attaquants d’accéder silencieusement aux réseaux en collectant des informations à partir de fichiers », a déclaré Microsoft.
Aussi: Emplois en cybersécurité : cinq façons de vous aider à bâtir votre carrière
Le serveur Web Boa, un projet de logiciel open source, a été abandonné en 2005, mais 17 ans plus tard, il est toujours livré dans une variété d’appareils IoT et de kits de développement logiciel (SDK) populaires, selon MSTIC.
“Microsoft évalue que les serveurs Boa fonctionnaient sur les adresses IP de la liste des IOC publiée par Recorded Future au moment de la publication du rapport et que l’attaque du réseau électrique ciblait les appareils IoT exposés exécutant Boa”, a déclaré Microsoft.
Le serveur Web Boa est souvent utilisé pour accéder aux paramètres et aux consoles de gestion et aux écrans de connexion des appareils.
Mais comme Boa n’est plus maintenu, les appareils ou les kits de développement logiciel (SDK) qui l’utilisent encore hébergeront toutes les vulnérabilités connues depuis la date à laquelle il a été abandonné.
Aussi: Qu’est-ce que la cybersécurité exactement ? Et pourquoi est-ce important ?
Microsoft soupçonne que Boa reste populaire dans les appareils IoT en raison de sa présence dans les SDK populaires qui contiennent des fonctions qui fonctionnent sur le système sur puce (SOC) dans les micropuces, utilisées dans les appareils à faible puissance comme les routeurs.
Un exemple concret est celui des SDK RealTek, qui sont utilisés dans les SOC et fournis aux entreprises qui fabriquent des passerelles réseau telles que des routeurs, des points d’accès et des répéteurs. Un défaut critique CVE-2021-35395 concernait le Jungle SDK de RealTek, qui comprenait une interface de gestion basée sur Boa. Bien que RealTek ait publié des correctifs pour le SDK, certains fabricants ne les ont peut-être pas inclus dans les mises à jour du micrologiciel. Par conséquent, il existe un risque pour la chaîne d’approvisionnement qui préoccupe Microsoft.
Selon Microsoft, les attaquants pourraient exploiter les vulnérabilités du serveur Web pour accéder aux réseaux en collectant des informations à partir de fichiers. De plus, les organisations peuvent utiliser des appareils en réseau et ne pas savoir qu’elles exécutent des services utilisant Boa.
“Bien que des correctifs pour les vulnérabilités du SDK RealTek soient disponibles, certains fournisseurs peuvent ne pas les avoir inclus dans les mises à jour du micrologiciel de leurs appareils, et les mises à jour n’incluent pas de correctifs pour les vulnérabilités Boa. Les serveurs Boa sont affectés par plusieurs vulnérabilités connues, notamment l’accès arbitraire aux fichiers (CVE-2017-9833) et la divulgation d’informations (CVE-2021-33558)”, note Microsoft.
“Ces vulnérabilités peuvent permettre aux attaquants d’exécuter du code à distance après avoir obtenu l’accès à l’appareil en lisant le fichier” passwd “de l’appareil ou en accédant aux URI sensibles du serveur Web pour extraire les informations d’identification d’un utilisateur. De plus, ces vulnérabilités ne nécessitent aucune authentification pour être exploitées, ce qui les rend des cibles attractives. »
