Microsoft warnt vor Sicherheitsrisiko durch veralteten Open-Source-Web-Server
Der Web-Server Boa ist in diversen IoT-Geräten implementiert. Seit 2005 wird Boa nicht mehr unterstützt. Betroffen sind unter anderem Geräte mit Chips von RealTek.
Microsoft weist auf ein mögliches Sicherheitsrisiko für Millionen von Geräten und Unternehmen hin. Auslöser ist der Open-Source-Web-Server Boa, der seit 2005 nicht mehr unterstützt wird, aber weiterhin in eine Vielzahl von IoT-Geräten sowie verbreiteten Software Development Kits implementiert ist. Angreifer könnten unter Umständen unbemerkt in Netzwerk eindringen, warnt Microsoft.
Auf das Problem gestoßen war Microsofts Threat Intelligence Center bei der Prüfung eines im April 2022 veröffentlichten Berichts des Sicherheitsanbieters Recorded Future. Der Bericht befasste sich mit wahrscheinlich von der chinesischen Regierung unterstützten Angriffen auf den indischen Energiesektor. Über einen Zeitraum von fast zwei Jahren trugen die Forscher mehr als ein Dutzend Indikatoren für eine Kompromittierung zusammen, die auf Angriffe auf 38 Organisationen zutrafen.
Microsoft wiederum fand heraus, dass bei allen von Recorded Future erfassten Attacken die anfällige Komponente der Web-Server Boa war. “Er wird häufig für den Zugriff auf Einstellungen und Verwaltungskonsolen sowie Anmeldebildschirme in Geräten verwendet wird”, erläuterte Microsoft. “Obwohl der Boa-Webserver 2005 eingestellt wurde, wird er weiterhin von verschiedenen Anbietern in einer Vielzahl von IoT-Geräten und gängigen Software Development Kits (SDKs) eingesetzt. Wenn der Boa-Webserver nicht von Entwicklern verwaltet wird, könnten seine bekannten Schwachstellen es Angreifern ermöglichen, sich unbemerkt Zugang zu Netzwerken zu verschaffen, indem sie Informationen aus Dateien sammeln.”
Schwachstellen erlauben Remotecodeausführung
Unter anderem wird der Boa Web-Server von einem SDK für SoCs von RealTek verwendet. Die Chips von RealTek wiederum werden in Netzwerkgeräten wie Routern, Access Points und Repeatern verbaut. RealTeak habe zwar Patches für eine kritische Schwachstelle in seiner Software veröffentlicht, einige Gerätehersteller hätten das Update aber wahrscheinlich nicht in ihrer Firmware verarbeitet.
Microsoft betonte, dass es sich um ein Sicherheitsrisiko in der Lieferkette handelt und viele Unternehmen möglicherweise gar nicht wüssten, dass auf ihren Geräten der veraltete Web-Server Boa laufe. “Boa-Server sind von mehreren bekannten Sicherheitslücken betroffen, darunter beliebiger Dateizugriff (CVE-2017-9833) und Offenlegung von Informationen (CVE-2021-33558)”, ergänzte Microsoft.
“Diese Schwachstellen können es Angreifern ermöglichen, Code aus der Ferne auszuführen, nachdem sie sich Zugang zum Gerät verschafft haben, indem sie die ‘passwd’-Datei vom Gerät lesen oder auf sensible URIs im Webserver zugreifen, um die Anmeldedaten eines Benutzers zu extrahieren. Außerdem erfordern diese Sicherheitslücken keine Authentifizierung, was sie zu attraktiven Zielen macht.”