Non è la prima volta che ne parliamo, non è la prima volta che accade: le vulnerabilità di sicurezza non invecchiano mai, ovvero l’opportunità di sfruttamento sembrano non finire mai, e non stupisce dunque che i ricercatori abbiano per una volta ancora segnalato l’allarme di sfruttamento di vulnerabilità molto vecchie. 

Questa volta si tratta di vulnerabilità relative ad un server Web non più sviluppato dal lontano 2005 e pertanto parliamo di vulnerabilità “forever day”. Queste vulnerabilità sono un cavallo di battaglia noto nel panorama, in quanto si tratta vulnerabilità appartenenti ad un software sì abbandonato, ma impiantato in differenti dispositivi IoT che lo portano ancora a bordo, procurandosi in questo modo un alto rischio. 

Gruppi hacking cinesi (sponsorizzati dallo Stato: si parla di RedEcho) hanno condotto differenti campagne già in passato (con differenti vettori di attacco), e ora le ripetono, contro operatori del settore energetico indiano e anche altre organizzazioni strategiche, proprio a partire da questa debolezza nel mondo dei dispositivi IoT. Microsoft segnala lo sfruttamento delle vulnerabilità proprio di quel server Web Boa che dicevamo interrotto nel 2005: questo è componente IoT per l’accesso alla console di gestione dei dispositivi e le sue vulnerabilità aumentano in modo significativo il rischio per questi sistemi quando esposti su Internet. 

È un problema capillare, in quanto molti SDK per lo sviluppo nel mondo IoT ancora includono questa soluzione, pertanto non è una questione isolata a pochi vendor. Secondo la piattaforma Microsoft Defender Threat Intelligence possono essere rilevati più di un milione di server Boa esposti su Internet. Analoghe informazioni possiamo ottenere da strumenti come Shodan. 

I server Boa hanno differenti vulnerabilità, come la CVE-2017-9833 (una inclusione di file arbitrario con CVSS 7.5) o la CVE-2021-33558 (una information disclosure con CVSS 7.5) con le quali gli aggressori tentano di richiedere l’autenticazione per eseguire codice da remoto dopo aver rubato credenziali accedendo a file con le informazioni sensibili. Uno degli attacchi più recenti ha consentito mediante questo vettore di colpire con ransomware Hive la società energetica Tata Power (India). 

In particolare la CVE-2017-9833 consente di iniettare attraverso la variabile FILECAMERA il percorso ../.. e leggere file con privilegi di root durante una semplice GET (CWE-22, path traversal), mentre la CVE-2021-33558 consente all’attaccante di ottenere informazioni attraverso alcune specifiche pagine (backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, e config.js) che hanno una miscofiguration. 

Vista la situazione, dove il rimedio non potrà passare per aggiornamenti software, unica soluzione è ridurre la superficie di attacco con strategie difensive differenti, comprese difese attive come intrusion prevention system su tracce specializzate per le minacce che incombono sui dispositivi IoT.

Tweet