Специалистите по информационна безопасност на Microsoft съобщиха, че уязвимости в уеб сървърите Boa, поддръжката на които бе прекратена още през 2005 г., активно се използват за хакването на организации и компании от енергийния сектор.

През 2021 г. компанията Recorded Future засече китайска хакерска група, която атакува енергийните системи на Индия. През април експертите на същата компания публикуваха специален отчет, в който описаха атаките, предприети този път от държавни хакери на Китай срещу индийския енергиен сектор. Тогава китайските хакери атакуваха няколко индийски енергийни оператора, сринаха националната система за реагиране на извънредни ситуации и проникнаха в сървърите на голяма индийска логистична компания, името на което бе запазено в тайна от медиите.

Но тогава специалистите на Recorded Future не съобщиха никаква информация относно вектора на атаките, който е използван от хакерите. Едва сега експертите на Microsoft Security Threat Intelligence написаха в своя фирмен блог, че хакерите са използвали уязвим програмен модул на уеб сървъра Boa, който е с отворен сорс код. Разработването на тази платформа бе прекратено още през 2005 г., но този уеб сървър все още се използва от редица IoT устройства – от най-различни рутери до смарт камери, и е включен в по-популярните SDK.

И тъй като Boa е един от компонентите, използвани за логване в системата и за достъп до управлението на IoT устройствата, това значително увеличава риска от хакването на критична инфраструктура с помощта на IoT устройства, на които работи този уязвим уеб сървър.

Според информацията на Microsoft, само за една седмица в целия свят са били открити над 1 млн. заразени от този тип компоненти на Boa, които са достъпни през интернет.

"Уеб сървърите Boa са уязвими към няколко известни към днешен ден уязвимости, включително достъп до произволни файлове (CVE-2017-9833) и разкриване на чувствителна информация (CVE-2021-33558)" – съобщават специалистите на софтуерния гигант. "Microsoft продължава да наблюдава по какъв начин хакерите се опитват да използват уязвимостите в Boa. Подчертаваме, че целият уеб сървър Boa както преди е вектор на хакерски атаки".

Благодарение на тези уязвимости неупълномощен злоумишленик може да получи името и акаунта на всеки потребител, и след това да ги използва като отдалечено изпълнение на произволен код. Именно по този начин, по време на една от последните хакерски атаки от подобен род операторите на рансъмуера Hive успяха да компрометират най-голямата енергийна компания Tata Power.

"Атаката, която е подробно описана в отчета на Recorded Future, бе един от няколкото опита за проникване в критичната инфраструктура на Индия, предприемани от 2020 г. насам. Последната атака от подобен род бе фиксирана и потвърдена през месец октомври тази година" – съобщават още експертите. "Популярността на уеб сървъра Boa показва големия риск, който носи един незащитен програмен модул, дори и ако в мрежовите устройства са взети най-новите мерки за осигуряване на информационната безопасност".