Boa’nın Unutulan Web Sunucuları Tehtid Haline Geliyor! Microsoft analistleri, 2005 yılında kullanımdan kaldırılan Boa web sunucularındaki güvenlik açıklarının enerji sektörü kuruluşlarına saldırmak için kullanıldığını bildiriyor. 2021 yılında Recorded Future şirketi, Hindistan’daki elektrik şebekelerine saldıran Çinli bir hack grubu keşfetti. 2022 yılının Nisan ayında aynı araştırmacılar, Çin’den Hint enerji sektörüne karşı başka bir bilgisayar korsanları tarafından yapılan saldırıları açıklayan yeni bir rapor yayınladılar.
Saldırganlar daha sonra birkaç Hintli elektrik şebekesi operatörüne saldırdılar.
Recorded Future’daki uzmanlar, bilgisayar korsanlarının kullandığı saldırı yönü hakkında hiçbir şey bildirmediler. Ancak Microsoft Security Threat Intelligence analistleri, saldırganların savunmasız bir Boa açık kaynaklı web sunucusu bileşenini kullandığını yazıyorlar. Sunucuların geliştirme aşaması 2005 yılında sona erdi. Ancak popüler sdk’larda yer aldığı için Boa hala birçok IoT cihazı (yönlendiricilerden akıllı kameralara kadar) tarafından kullanılmaktadır.
Boa, oturum açmak ve IoT cihazlarının yönetimine erişmek için kullanılan bileşenlerden biri olduğu için bu durum savunmasız bir web sunucusunu çalıştıran IoT cihazlarıyla altyapıya girme riskini önemli ölçüde arttırıyor.
Bir hafta içinde internet üzerinden erişilebilen 1 milyondan fazla Boa sunucu bileşeni…
Microsoft’a göre, dünya çapında sadece bir hafta içinde internet üzerinden erişilebilen 1 milyondan fazla Boa sunucu bileşeni keşfedildi.
“Boa sunucuları rastgele dosyalara erişim (CVE-2017-9833) ve bilgi kopyalamak (CVE-2021-33558) dahil olmak üzere bilinen birçok güvenlik açığından etkilenmektedir.”
Microsoft, saldırganların Boa’daki güvenlik açıklarından yararlanmaya çalıştıklarını gördüklerini söylüyor. Yani halen daha saldırı yönü olarak aktifliğini koruyor.
Saldırgan, bu güvenlik açıklarından kullanıcının kimlik bilgilerini almak için yararlanabilir ve ardından bunları uzaktan kod yürütmek için de kullanabilir. Örneğin bu güvenlik açıklarını kullanan son saldırılardan birinde Hive fidye yazılımı, Hindistan’ın en büyük enerji şirketi Tata Power’ı tehlikeye attı.
“Kaydedilen gelecek raporunda ayrıntılı olarak açıklanan saldırı, 2020’den beri Hindistan’ın kritik altyapısını işgal etmeye yönelik çeşitli girişimlerden biriydi. Bu durumda son saldırı 2022 yılının Kasım ayında doğrulandı.”
