La compañía ha explicado que, a psar de haber suspendido el servicio de su servidor web Boa hace ya 17 años, este continúa siendo implementado por diferentes proveedores en una variedad de dispositivos conectados (IoT) y kits de desarrollo de 'software'(SDK) populares.
Este uso no está controlado, es decir, no cuenta con desarrolladores que velen por su seguridad y lo mantengan, de modo que los ciberdelincuentes podrían obtener acceso de forma silenciosa a él a fin de recopilar información de sus archivos.
Según ha comentado Microsoft en un comunicado, cabe la posibilidad de que los afectados hayan ejecutado sus servicios utilizando este servidor web descontinuado y que este no dispone de actualizaciones de 'firmware' y parches de seguridad capaces de abordar las vulnerabilidades conocidas.
El equipo de Microsoft Thread Intelligence Center (MSTIC) identificó más de un millón de dispositivos que utilizan el servidor Boa (que se implementa tanto en dispositivos IoT como en cámaras) expuestos a vulnerabilidades.
Esta sección de la compañía dio comienzo a una investigación sobre un informe elaborado hace unos meses por el proveedor de seguridad Recorded Future, sobre un actor de amenazas que habría promovido varios intentos de intrusión en la infraestructura crítica india desde hace dos años.
Recorded Future enumeró en este estudio más de una decena de indicadores red de compromiso (IOC, por sus siglas en inglés), que se habrían utilizado entre finales del pasado año y el primer trimestre de este contra organizaciones dedicadas al sector energético en India.
Concretamente, los investigadores determinaron que más del 10 por ciento de todas las direcciones IP activas estaban relacionadas con industrias como la petrolera o los servicios de flota.
Entre algunas de las vunerabilidades conocidas halladas en el servidor Boa destacan el acceso aritrario a archivos (CVE-2017-9833) y la divulgación de información (CVE-2021-3358), que permitirían a los atacantes la ejecución de código malicioso de forma remota una vez han obtenido acceso al dispositivo.
Microsoft ha explicado que, como estas vulnerabilidades no requieren autenticación para ser explotadas, se convierten en puntos de referencia atractivos para los ciberdelincuentes.
Además, ha recordado que las actualizaciones de 'firmware' en dispositivos IoT no siempre despliegan los SDK, mientras que la lista de información registrada sobre vulnerabilidades de seguridad conocidas (CVE, por sus siglas en inglés) pueden permitir que los atacantes inicien ataques y recopilen datos confidenciales sin ser detectados.
"En las redes de infraestructura crítica, poder recopilar información sin ser detectada antes del ataque permita a los atacantes tener un impacto mucho mayor una vez iniciado el ataque, lo que puede interrumpir operaciones que pueden costar millones de dólares y afectar a millones de personas", se puede leer en este escrito.
Sin comentarios
Para comentar es necesario estar registrado en Ultima Hora
De momento no hay comentarios.