Microsoft affirme que le serveur Web Boa abandonné permet aux pirates d'attaquer les organisations énergétiques

Microsoft confirmé que des pirates malveillants exploitent un composant open source vulnérable dans le serveur Web abandonné Boa pour cibler les organisations du secteur de l'énergie. Il a déclaré que l'une des premières attaques a été exécutée par des pirates chinois sur le Réseau électrique indien mais a également averti que le problème "pourrait affecter des millions d'organisations et d'appareils".

"Les CVE connus affectant ces composants peuvent permettre à un attaquant de collecter des informations sur les actifs du réseau avant de lancer des attaques et d'accéder à un réseau sans être détecté en obtenant des informations d'identification valides", explique Microsoft dans un article de blog. "Dans les réseaux d'infrastructures critiques, le fait de pouvoir collecter des informations non détectées avant l'attaque permet aux attaquants d'avoir un impact beaucoup plus important une fois l'attaque lancée, perturbant potentiellement les opérations qui peuvent coûter des millions de dollars et affecter des millions de personnes."

Les serveurs Boa se trouvent sur les appareils habituels de l'Internet des objets (IoT) (par exemple, les caméras de sécurité, les routeurs et les kits de développement de logiciels) bien qu'ils aient été retirés depuis 2005. Ils sont utilisés pour accéder aux paramètres et aux consoles de gestion et aux écrans de connexion du dispositifs.

Microsoft a identifié plus d'un million de composants de serveur Boa exposés à Internet en seulement une semaine. Compte tenu de cette utilisation massive et continue du serveur Web abandonné et d'autres complexités, Microsoft a admis qu'il pourrait être difficile d'atténuer le problème.

"Sans les développeurs gérant le serveur Web Boa, ses vulnérabilités connues pourraient permettre aux attaquants d'accéder silencieusement aux réseaux en collectant des informations à partir de fichiers", explique Microsoft. "De plus, les personnes concernées peuvent ignorer que leurs appareils exécutent des services utilisant le serveur Web Boa abandonné, et que les mises à jour du micrologiciel et les correctifs en aval ne corrigent pas ses vulnérabilités connues."

Le secteur de l'énergie est une cible attrayante pour les pirates, et Microsoft a déclaré que l'exploitation de la vulnérabilité se poursuit. Avec cela, la société de Redmond a suggéré aux organisations à risque d'attaques d'établir leurs propres protections. Selon lui, en plus d'identifier les appareils utilisés par les organisations qui pourraient être à risque d'attaques, ils doivent exécuter des correctifs et configurer des configurations pour détecter facilement les attaques. L'une des premières organisations à observer cela est le département américain de l'énergie, qui a commencé à apporter des changements pour mieux renforcer ses défenses en matière de cybersécurité en mars.