{"id":275488,"date":"2022-11-27T08:08:15","date_gmt":"2022-11-27T07:08:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275488"},"modified":"2022-11-27T10:37:20","modified_gmt":"2022-11-27T09:37:20","slug":"hacker-dringen-ber-veralteten-boa-webserver-von-iot-komponenten-in-energieunternehmen-ein","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/11\/27\/hacker-dringen-ber-veralteten-boa-webserver-von-iot-komponenten-in-energieunternehmen-ein\/","title":{"rendered":"Hacker dringen über veralteten Boa Webserver von IoT-Komponenten in Energieunternehmen ein"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Viele Hersteller setzen in ihren IoT-Komponenten veraltete Softwarekomponenten ein. Microsoft hat nun einen Fall aufbereitet, wo ein 2005 in der Entwicklung eingestellter Webserver missbraucht wurde, um \u00fcber dessen Schwachstellen in die Systeme von Energieunternehmen einzudringen. Hintergrund ist, dass diese veraltete Software in IoT-Komponenten immer noch zum Einsatz kommt.<\/p>\n

<\/p>\n

Der Boa Webserver<\/h2>\n

\"\"Boa<\/a> war laut Wikipedia ein freier, schlanker Webserver, welcher sich unter anderem f\u00fcr die Anwendung in eingebetteten Systemen eignete. Urspr\u00fcnglich geschrieben von Paul Phillips, wurde er bis zur Einstellung des Projektes in 2005 von Larry Doolittle und Jon Nelson betreut. Der Server arbeitete im Gegensatz zu den meisten anderen Webservern, wie der Apache Webserver, mit nur einem Thread. Durch seinen minimalistischen Ansatz war diese Software f\u00fcr den Einsatz auf leistungsschwacher Hardware geeignet. Neben der Auslieferung statischer Inhalte beherrschte Boa auch die Auslieferung dynamischer Inhalte. Hierzu konnte per CGI Drittsoftware angebunden werden, welche Nutzereingaben verarbeitet und dynamische Ausgaben generiert.<\/p>\n

Angriffe auf indische Stromnetze<\/h2>\n

Die Webseite The Recorded Future berichtete bereits im April 2022 im Artikel Continued Targeting of Indian Power Grid Assets by Chinese State-Sponsored Activity Group<\/a> von anhaltenden Angriffen auf das Stromnetz Indiens. Die Kampagne wurde mutma\u00dflich\u00a0 durch staatliche chinesische Hacker (RedEcho) durchgef\u00fchrt und zielte auf den indischen Energiesektor ab.<\/p>\n

Die Aktivit\u00e4ten wurden durch eine Kombination aus gro\u00df angelegter automatischer Analyse des Netzwerkverkehrs und Expertenanalysen identifiziert. Die Analyse, die dem obigen Bericht zugrunde legt, weist darauf hin, dass g\u00e4ngige IoT-Ger\u00e4te als Vektor f\u00fcr Angriffe genutzt werden, um in betriebstechnischen Netzwerken Fu\u00df zu fassen und b\u00f6sartige Nutzdaten zu verteilen.<\/p>\n

Microsoft greift das Thema auf<\/h2>\n

Bei der Untersuchung der oben skizzierten Angriffsaktivit\u00e4ten identifizierten Microsoft-Forscher eine anf\u00e4llige Komponente auf allen IP-Adressen, die als IOCs (Indicator of Compromise)\u00a0 ver\u00f6ffentlicht wurden, und fanden Hinweise auf ein Lieferkettenrisiko, das Millionen von Unternehmen und Ger\u00e4ten betreffen k\u00f6nnte.<\/p>\n

Denn Microsoft hat festgestellt, dass f\u00fcr den Zugriff auf Einstellungen und Verwaltungskonsolen sowie Anmeldebildschirme in IoT-Ger\u00e4ten ein Boa-Webserver verwendet wird. In dieser Software gibt es Schwachstellen, da die Entwicklung des Boa-Webserver 2005 eingestellt wurde. Trotzdem wird diese Software weiterhin von verschiedenen Anbietern in einer Vielzahl von IoT-Ger\u00e4ten und g\u00e4ngigen Software Development Kits (SDKs) implementiert.<\/p>\n

Sofern der Boa-Webserver nicht von Entwicklern dieser Software verwaltet wird, k\u00f6nnten seine bekannten Schwachstellen es Angreifern erm\u00f6glichen, sich unbemerkt Zugang zu Netzwerken zu verschaffen, indem sie Informationen aus den auf dem Webserver gespeicherten Dateien sammeln. Dar\u00fcber hinaus ist den Betroffenen m\u00f6glicherweise nicht bewusst, dass ihre Ger\u00e4te Dienste ausf\u00fchren, die den eingestellten Boa-Webserver nutzen, und dass Firmware-Updates und nachgelagerte Patches die bekannten Schwachstellen nicht beheben.<\/p>\n

\"Boa<\/p>\n

Obige Grafik zeigt, dass der Boa Webserver weltweit immer noch eingesetzt wird, wobei es eine starke Fokussierung auf Indien gibt. Aber auch in Europa sind wohl IoT-Ger\u00e4te mit diesem Produkt im Einsatz. Microsoft hat die Details der Angriffe und weitere Erkenntnisse am 22. November 2022 im Blog-Beitrag Vulnerable SDK components lead to supply chain risks in IoT and OT environments<\/a> ver\u00f6ffentlicht. Angesichts solcher Verh\u00e4ltnisse mutet es wie Hohn an, wenn auf der einen Seite immer mit dem Ersatz von aus dem Support gefallener Software (z.B. Office, Windows) geworben wird, andererseits in IoT-Komponenten seit 17 Jahren nicht mehr weiter entwickelte Software zur Verwendung kommt. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Viele Hersteller setzen in ihren IoT-Komponenten veraltete Softwarekomponenten ein. Microsoft hat nun einen Fall aufbereitet, wo ein 2005 in der Entwicklung eingestellter Webserver missbraucht wurde, um \u00fcber dessen Schwachstellen in die Systeme von Energieunternehmen einzudringen. Hintergrund ist, dass diese veraltete … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-275488","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275488","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=275488"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275488\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=275488"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=275488"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=275488"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}