Angriffe auf Boa Web Server gefährden IoT

Schwachstellen in Netzwerkkomponenten, Architekturdateien und Entwickler-Tools sind zunehmend beliebte Angriffsvektoren, um sich Zugang zu sicheren Netzwerken und Geräten zu verschaffen, erklärt Microsoft Security Threat Intelligence (MSTI). Externe Tools und Produkte, die von Anbietern und Entwicklern verwaltet werden, können ein Sicherheitsrisiko darstellen, insbesondere für Ziele in sensiblen Branchen. Angriffe auf Software- und Hardware-Lieferketten wie Log4J und SolarWinds haben deutlich gemacht, wie wichtig es ist, einen Überblick über die Gerätekomponenten zu haben und Netzwerke proaktiv zu sichern.

Ein von Recorded Future im April 2022 veröffentlichter Bericht beschrieb mutmaßliche Einbruchsaktivitäten in das Stromnetz und stellte gängige IoT-Geräte als den Vektor dar, der genutzt wurde, um in betriebstechnischen Netzwerken Fuß zu fassen und bösartige Nutzdaten zu verteilen. Bei der Untersuchung der Angriffsaktivitäten identifizierten Microsoft-Forscher eine anfällige Komponente auf allen IP-Adressen, die als IOCs veröffentlicht wurden, und fanden Hinweise auf ein Lieferkettenrisiko, das Millionen von Unternehmen und Geräten betreffen könnte.

MSTI hat festgestellt, dass es sich bei der anfälligen Komponente um den Boa-Webserver handelt, der häufig für den Zugriff auf Einstellungs- und Verwaltungskonsolen sowie Anmeldebildschirme in Geräten verwendet wird. Obwohl der Boa-Webserver 2005 eingestellt wurde, wird er weiterhin von verschiedenen Anbietern in einer Vielzahl von IoT-Geräten und gängigen Software Development Kits (SDKs) eingesetzt.

Wenn der Boa-Webserver nicht von Entwicklern verwaltet wird, könnten seine bekannten Schwachstellen es Angreifern ermöglichen, sich unbemerkt Zugang zu Netzwerken zu verschaffen, indem sie Informationen aus Dateien sammeln. Darüber hinaus sind sich die Betroffenen möglicherweise nicht bewusst, dass ihre Geräte Dienste ausführen, die den eingestellten Boa-Webserver verwenden, und dass Firmware-Updates und Downstream-Patches die bekannten Schwachstellen nicht beheben.

Untersuchung der Angriffsaktivitäten

Der im Bericht von Recorded Future beschriebene Angriff war einer von mehreren Einbruchsversuchen in kritische indische Infrastrukturen seit 2020, wobei der jüngste Angriff auf IT-Anlagen im Oktober 2022 bestätigt wurde. Microsoft geht davon aus, dass Boa-Server auf den IP-Adressen liefen, die auf der von Recorded Future zum Zeitpunkt der Veröffentlichung des Berichts veröffentlichten Liste der IOCs standen, und dass der Angriff auf das Stromnetz auf ungeschützte IoT-Geräte abzielte, auf denen Boa lief.

Microsoft stellte außerdem fest, dass die Hälfte der von Recorded Future veröffentlichten IP-Adressen verdächtige HTTP-Antwort-Header zurückgaben, die mit dem aktiven Einsatz des von Recorded Future identifizierten bösartigen Tools in Verbindung stehen könnten. Die Kombination aus Boa und verdächtigen Antwort-Headern wurde bei einer anderen Gruppe von IP-Adressen festgestellt, die ein ähnliches Verhalten wie die von Recorded Future gefundenen Adressen zeigten. Obwohl diese IP-Adressen nicht als bösartig bestätigt wurden, empfehlen wir, sie zu überwachen, um sicherzustellen, dass keine weiteren verdächtigen Aktivitäten stattfinden. Benutzer von Microsoft Defender Threat Intelligence finden diese IP-Adressen im Portal als blockiert oder verdächtig gekennzeichnet:

122[.]117[.]212[.]65

103[.]58[.]93[.]133

125[.]141[.]38[.]53

14[.]45[.]33[.]239

14[.]55[.]86[.]138

183[.]108[.]133[.]29

183[.]99[.]53[.]180

220[.]94[.]133[.]121

58[.]76[.]177[.]166

Eine weitere Untersuchung der Header ergab, dass über 10 % aller aktiven IP-Adressen, die die Header zurücksendeten, mit kritischen Branchen wie der Erdölindustrie und damit verbundenen Flottendiensten in Verbindung standen, wobei viele der IP-Adressen mit IoT-Geräten wie Routern mit ungepatchten kritischen Schwachstellen in Verbindung gebracht wurden, was einen zugänglichen Angriffsvektor für Malware-Betreiber darstellt. Die meisten der verdächtigen HTTP-Antwort-Header wurden über einen kurzen Zeitraum von mehreren Tagen zurückgesendet, was die Forscher zu der Annahme veranlasst, dass sie mit Eindringlingen und bösartigen Aktivitäten in Netzwerken in Verbindung stehen könnten.

Seit der Veröffentlichung des Berichts haben Microsoft-Forscher, die die veröffentlichten IP-Hosts verfolgten, festgestellt, dass alle IP-Adressen von einer Vielzahl von Angreifern mit unterschiedlichen bösartigen Methoden missbraucht wurden. So wurden beispielsweise einige der IP-Adressen kurz nach der Veröffentlichung des Berichts zum Herunterladen einer Variante der Mirai-Malware-Familie genutzt. Microsoft fand auch Beweise dafür, dass bei verschiedenen Geräten auf den IP-Adressen versucht wurde, mit Standard-Anmeldeinformationen durch Brute-Force-Methoden eine Verbindung herzustellen und Shell-Befehle auszuführen. Microsoft sieht weiterhin Angreifer, die versuchen, Boa-Schwachstellen über den Zeitraum des veröffentlichten Berichts hinaus auszunutzen, was darauf hindeutet, dass Boa immer noch als Angriffsvektor genutzt wird.

Boa weit verbreitet durch SDKs

Der Boa-Webserver ist in einer Vielzahl von Geräten implementiert, darunter IoT-Geräte von Routern bis hin zu Kameras, und wird häufig für den Zugriff auf Einstellungen und Verwaltungskonsolen sowie Anmeldebildschirme verwendet. Die Beliebtheit von Boa-Webservern ist besonders besorgniserregend, da Boa seit 2005 offiziell nicht mehr weiterentwickelt wird. Daten der Microsoft Defender Threat Intelligence-Plattform haben innerhalb einer Woche weltweit über 1 Million Boa-Server-Komponenten identifiziert, wie in der folgenden Abbildung dargestellt:

Boa-Webserver sind bei der Entwicklung von IoT-Geräten nach wie vor weit verbreitet. Ein Grund dafür könnte ihre Aufnahme in gängige SDKs sein, die wesentliche Funktionen für den Betrieb von in Mikrochips implementierten System-on-Chip (SOC) enthalten. Anfällige Komponenten wie Boa und SDKs werden oft in Geräten an Kunden weitergegeben und tragen so zu Schwachstellen in der Lieferkette bei. Beliebte SDKs, wie die von RealTek, werden in SOCs verwendet, die an Unternehmen geliefert werden, die Gateway-Geräte wie Router, Access Points und Repeater herstellen. Kritische Schwachstellen wie CVE-2021-35395, die die digitale Verwaltung von Geräten mit dem SDK von RealTek betrafen, und CVE-2022-27255, eine Zero-Click-Overflow-Schwachstelle, betreffen Berichten zufolge Millionen von Geräten weltweit und ermöglichen es Angreifern, Code zu starten, Geräte zu kompromittieren, Botnets einzurichten und sich seitlich in Netzwerken zu bewegen.

Obwohl Patches für die RealTek SDK-Schwachstellen verfügbar sind, haben einige Hersteller sie möglicherweise nicht in ihre Geräte-Firmware-Updates aufgenommen, und die Updates enthalten keine Patches für Boa-Schwachstellen. Boa-Server sind von mehreren bekannten Schwachstellen betroffen, darunter beliebiger Dateizugriff (CVE-2017-9833) und Offenlegung von Informationen (CVE-2021-33558). Diese Sicherheitsanfälligkeiten können es Angreifern ermöglichen, Code aus der Ferne auszuführen, nachdem sie Zugriff auf das Gerät erlangt haben, indem sie die Datei „passwd“ vom Gerät lesen oder auf sensible URIs im Webserver zugreifen, um die Anmeldedaten eines Benutzers zu extrahieren. Außerdem erfordern diese Sicherheitslücken keine Authentifizierung, was sie zu attraktiven Zielen macht.