Sektörden Haberler

Siber Saldırganlar Üretimi Durdurulmuş Ve Teknik Desteği Bulunmayan Boa Web Sunucularını Kullanarak, Kritik Tesislere Saldırmaktadır.

23 Kasım 2022

Microsoft 22 Kasım 2022 tarihinde yaptığı açıklamada, bu yılın başlarında Hindistan elektrik şebekesi kuruluşlarını hedef alan siber saldırıların, üretimi artık yapılmayan Boa adlı bir web sunucusundaki güvenlik açıklarından yararlanarak yapıldığını açıklamıştır.

Teknoloji devinin siber güvenlik birim yöneticileri, artık üretimi olmayan bu ürünün milyonlarca kuruluş ve cihazı etkileyebilecek bir tedarik zinciri riski oluşturduğunu belirtmişlerdir.

Bulgular, Recorded Future tarafından Nisan 2022'de yayınlanan ve Çin bağlantılı olduğundan şüphelenilen saldırganlar tarafından Hindistan'daki kritik altyapı kuruluşlarını (Tata Power bunlardan bir tanesidir) vurmak için düzenlenen saldırıları inceleyen önceki bir rapora dayanmaktadır.

Siber güvenlik firması, saldırıların daha önce bilinmeyen bir tehdit grubu tarafından yapıldığını açıklamıştır. Hindistan hükümeti saldırıları başarısız saldırı girişimi olarak tanımlarken, Çin saldırıların arkasında kendisinin olduğunu yalanlamıştır.

Saldırı grubu ülke adına istihbarat toplama görevleri yürüten birkaç casusluk grubu arasında paylaşıldığı bilinen ShadowPad adlı modüler bir arka kapının kullanılmasından dolayı Çin ile ilişkilendirilmektedir.

Ağı aşmak için kullanılan ilk bulaşma yöntemi bilinmemekle birlikte, ShadowPad implantı, güvenliği ihlal edilmiş internete bakan DVR/IP kamera cihazlarından oluşan bir ağı kullandığı tespit edilmiştir.

Microsoft, Boa web sunucusunu ortak bir bağlantı olarak kullanan ve izinsiz girişleri çalıştıran IoT cihazlarına yönelik bir saldırı olduğunun değerlendirdiğini açıklamıştır.

Şirket, üretiminin 2005 yılında durdurulmasına rağmen, Boa web sunucusunun, çeşitli IoT cihazlarında ve popüler yazılım geliştirme kitlerinde (SDK'ler) farklı satıcılar tarafından kullanılmaya devam ettiğini açıklamıştır.

Boa web sunucusun teknik desteği olmadığından, bilinen güvenlik açıkları, saldırganların dosyalardan bilgi toplayarak gizlice ağlara erişmesine izin vermektedir.

En son bulgular, yaygın olarak kullanılan ağ bileşenlerindeki kusurların tedarik zinciri riskini arttırdığının altını bir kez daha çizmektedir.

Microsoft ayrıca, Hindistan'da yoğun olmakla birlikte, bir haftada, dünya çapında bir milyondan fazla internete açık olan Boa sunucusu tespit ettiklerini açıklamıştır.

Boa sunucuları; yönlendiriciler, erişim noktaları ve tekrarlayıcılar gibi cihazlarla kullanılan, RealTek'tekin SDK’larıyla entegre olarak kullanılmaktadır.

Yazılım tedarik zincirinin karmaşık doğası, üst satıcısından gelen düzeltmelerin müşterileri etkileyebileceği ve çözülmemiş kusurların, alt üreticilerin ürün yazılımı güncellemelerine rağmen devam edebileceği anlamına gelmektedir.

Boa sunucularındaki güvenlik açıkları, saldırganların, hassas bilgilerin elde etmesine, uzaktan kod yürütmesine, rastgele dosyaları okumasına olanak sağlayabilen CVE-2017-9833 ve CVE-2021-33558’i açıklıklarını başarılı bir şekilde kullanılabilmesine imkan sağlamaktadır.

Yama yapılmamış bu eksiklikler, saldırganların hedeflenen BT ortamları hakkında daha fazla bilgi toplamasını sağlayarak etkili bir şekilde yıkıcı saldırılara yol açabilmektedir.

Microsoft, ağdaki cihazlara en iyi güvenlik uygulamaları uygulandığında bile, tedarik zincirinin potansiyel saldırılara maruz kalma riskinin Boa web sunucusu kullanılan sistemlerde devam ettiğini belirtmektedir.

Siber Saldırganlar, giderek daha güvenli hale gelen cihazlara ve ağlara sızmak yerine, eski yazılım ve donanım kullanan tedarik zincirlerine saldırmayı tercih edeceğinden, kurum ve kuruluşlar tarafından bir an önce sistemlerinin risklerini belirleme ve önleme konusu önceliklendirilmeli ve hızlı bir şekilde tedbir alınmalıdır.

 

Kaynak: https://thehackernews.com/2022/11/hackers-exploiting-abandoned-boa-web.html