Santander, 24 de noviembre. (Diario de Cantabria) –
microsoft anunció que un error registrado en uno de sus servidores, descontinuado en 2005, pudo haber comprometido la seguridad de varias empresas dedicadas al sector energético y la industria.
La compañía explicado que, a pesar de haber suspendido el servicio de su servidor web Boa hace 17 años, continúa siendo implementado por diferentes proveedores en una variedad de dispositivos conectados (IoT) y kits de desarrollo de software popular (SDK).
Este uso no está controlado, es decir, no cuenta con desarrolladores que garanticen su seguridad y la mantengan, por lo que los ciberdelincuentes pueden acceder a ella de forma silenciosa para recopilar información de sus archivos.
Como señaló Microsoft en un comunicado, es posible que los afectados realizó sus servicios utilizando este servidor web discontinuado que carece de actualizaciones de firmware y parches de seguridad capaces de resolver las vulnerabilidades conocidas.
El equipo de Microsoft Thread Intelligence Center (MSTIC) ha identificado más de un millón de dispositivos que usa un buen servidor (que se implementa en dispositivos IoT y cámaras) expuestos a vulnerabilidades.
Esta sección de la empresa inició una investigación sobre un informe elaborado hace unos meses por Futuro proveedor de seguridad registradosobre un actor de amenazas que supuestamente ha realizado múltiples intentos de piratería en la infraestructura crítica de la India en los últimos dos años.
Recorded Future enumera en este estudio más de una decena de indicadores de engagement network (IOC), que se habrían utilizado entre finales del año pasado y el primer trimestre de este. contra organizaciones dedicadas al sector energético en India.
Específicamente, los investigadores determinaron que más del 10 % de todas las direcciones IP activas estaban relacionadas con industrias como la del petróleo y el gas o los servicios de flotas.
Algunas de las vulnerabilidades conocidas que se encuentran en el servidor Boa incluyen el acceso arbitrario a archivos (CVE-2017-9833) y la divulgación de información (CVE-2021-3358), que permitiría a los atacantes ejecución de código malicioso remotamente una vez que obtengan acceso al dispositivo.
Microsoft explicó que debido a que estas vulnerabilidades no requieren autenticación para ser explotadas, son puntos de referencia atractivos para los ciberdelincuentes.
Además, recordó que las actualizaciones de ‘firmware’ en los dispositivos IoT no siempre despliegan los SDK, mientras que la lista de información registrada sobre vulnerabilidades de seguridad conocidas (CVE) puede permitir a los atacantes lanzar ataques y recopilar datos sensibles sin ser detectados.
“En redes de infraestructuras críticas, poder recopilar información sin ser detectado antes del ataque permitir que los atacantes tengan un impacto mucho mayor una vez iniciado el ataque, puede interrumpir operaciones que podrían costar millones de dólares y afectar a millones de personas”, se puede leer en este escrito.
