Boa Web Sever への攻撃:2005年に開発終了しても IoT で利用される理由は?

Hackers Exploiting Abandoned Boa Web Servers to Target Critical Industries

2022/11/23 TheHackerNews — 火曜日に Microsoft は、2022年初めにインドの電力網事業体を狙った侵入行為において、現在では廃止されている Boa と呼ばれる Web サーバの、脆弱性が利用された可能性が高いことを明らかにした。この脆弱なコンポーネントは、何百万もの組織やデバイスに影響を与え得る、サプライチェーン・リスクをもたらすと、Microsoft のサイバーセキュリティ部門は述べている。


この調査結果は、2022年4月に Recorded Future が発表した報告書に基づくものであり、中国と関連があると思われる敵対勢力が実施した、インドの重要インフラ組織への持続的な攻撃キャンペーンについて掘り下げている。

Recorded Future は、この攻撃を Threat Activity Group 38 と呼ばれる、これまで文書化されていなかった脅威アクターに起因するとしている。インド政府は、目的としていた調査の失敗により生じた攻撃だと説明しており、中国政府は、このキャンペーンへの関与を否定している。

この攻撃では、ShadowPad と呼ばれるモジュラー・バックドアが使用されており、中国と関連性があると見られている。このバックドアは、国家のために情報収集任務を遂行する、複数のスパイ・グループの間で共有されていることが知られている。

現時点において、ネットワーク侵入に関する感染経路は不明だ。しかし、ShadowPad のインプラントは、インターネットに面した DVR/IP カメラ機器の、ネットワークを介して操作されていた。

Microsoft は、このサイバー攻撃に関する独自の調査により、共通のリンクとして Boa を発見し、この Web サーバを実行する露出した IoT デバイスが侵入されたと評価している。

同社は、「Boa Web Sever は、2005年に開発終了となっているが、さまざまな IoT デバイスや一般的なソフトウェア開発キット (SDK:Software Development Kits) において、さまざまなベンダーが実装し続けている。開発者が Boa Web Sever を管理しなければ、その既知の脆弱性を悪用する攻撃者は、ファイルから情報を収集することで、ネットワークへの密かなアクセスが可能になる」と述べている。

今回の発見により、広く使用されているネットワーク・コンポーネントの脆弱性から生じる、サプライチェーンのリスクが再び強調された。この脆弱な Web サーバを実行する、インターネットからアクセス可能なデバイスを介して、重要なインフラが侵害にさらされる可能性があることが判明した。

さらに Microsoft は、1週間のうちに、インターネットに公開された Boa サーバーのコンポーネントが、世界中で 100万個以上も検出されたと述べている。その大半は、インドに集中していたという。

Boa サーバーが広く普及している原因は、RealTek などの広く使われている SDK に組み込まれ、ルーター/アクセス・ポイント/リピーターなどの機器にバンドルされていることだと指摘されている。

ソフトウェアのサプライチェーンは複雑で相互に連結しているため、上流ベンダーの修正が顧客まで行き届かず、下流メーカーがファームウェアを更新しても、未解決の脆弱性が残り続ける可能性がある。

Boa に影響を与える深刻な脆弱性としては、CVE-2017-9833/CVE-2021-33558 がある。これらの脆弱性が悪用されると、悪意のハッカー集団が任意のファイルを読み、機密情報を取得し、リモート・コード実行を達成する可能性がある。

このようなパッチ未適用の脆弱性の、悪用に成功した脅威アクターたちは、ターゲットの IT 環境に関する詳細な情報を不正に取得し、破壊的な攻撃への道筋を効果的につけることができる。

Microsoft は、「Boa Web Server の人気は、ネットワーク上のデバイスにセキュリティのベスト・プラクティスが適用されている場合であっても、安全とは言えない潜在的なサプライ・チェーンのリスクを示している。攻撃者たちは、安全性が高まりつつあるデバイスやネットワークへの、新たな足がかりを求めている。そのため、時代遅れのコンポーネントとソフトウェアに加えて、ハードウェアのサプライチェーンを介した分散型セキュリティ・リスクの特定/防止は、組織が優先的に行うべきことだ」と述べている。

Boa Web Server について Wikipedia で調べてみたら、Boa is a discontinued since 2005 open-source small-footprint Web sever だと記されていました。その一方で、ShadowPad に関しては、9月13日に「ShadowPad ハッカー集団:アジア各国の政府組織をターゲットにしている」という記事をポストしています。そこには、「リモートアクセス型トロイの木馬 (RAT) である ShadowPad だが、以前から関連していた脅威グループが新たなツールセットを採用し、アジア各国の政府機関や国営企業に対してキャンペーンを展開している」と記されていました。