A Microsoft biztonsági kutatói arrak figyelmeztetnek, hogy egy 20 éve kiadott, de a beágyazott alkalmazásoknál mindig népszerű webszerver komoly kockázatot jelent az ellátási láncok működésében.

A Microsoft biztonsági blogján közzétett figyelmeztetés szerint a hekkerek beágyazott alkalmazások körében gyakori, de már régóta elavult szoftvert használnak az energiaszektorban működő szervezetek támadására. A vállalat kutatói egy sebezhető nyílt forrású összetevőt fedeztek fel a Boa webszerverben, amelyet annak ellenére használnak széles körben a routerekben, biztonsági kamerákban és népszerű fejlesztői készletekben (SDK). hogy a programot hivatalosan már 2005 óta nem fejlesztik egyáltalán, utolsó végleges kiadása pedig az idén lett 20 éves. A Microsoft állítólag egy indiai elektromos hálózat esetében vizsgált egy feltételezett behatolást, amikor azonosította a szóban forgó sérülékenységet.

Ebben az ügyben a kínai állam támogatásával működő hekkerekről írnak, akik az IoT eszközökön keresztül próbáltak behatolni az ipari vezérlőrendszerekbe. A Microsoft szakembereinek egyetlen hét alatt milliónyi, az internetről elérhető Boa szerverkomponenst sikerült azonosítaniuk, így most arra figyelmeztetnek, hogy a sérülékeny összetevő komoly kockázatot jelent az ellátási láncokra, ami értelemszerűen az eszközöket használó szervezetek közül is milliókat érinthet. Ehhez hozzáteszik, hogy azóta is folyamatosan találkoznak ilyen támadásokkal.

Már kiderült, hogy mekkora probléma lehet az ilyesmiből

A szóban forgó sebezhetőség lehetővé teszi, hogy a támadók előzetesen információt gyűjtsenek a hálózati eszközökről, és érvényes hitelesítő adatok beszerzésével észrevétlenül hozzáférést szerezzenek a hálózatokhoz. Ez történt a Tata Power energiaipari óriáscég októberi incidense során is, amikor egy ransomware csoport a vállalattól ellopott adatokat tett közzé, köztük érzékeny munkavállalói adatokkal, műszaki rajzokkal, pénzügyi, banki és ügyfélnyilvántartásokkal. A Microsoft úgy látja, hogy a Boa hibáinak kiiktatása egyelőre nagyon nehéz a már megszűnt webszerver folyamatos népszerűsége és az IoT-eszközök ellátási láncába való beágyazottsága miatt.

A társaság azt javasolja a szervezeteknek és a hálózatüzemeltetőknek, hogy azonosítsák a sérülékeny összetevőket tartalmazó eszközöket, és lehetőség szerint javítsák ki azokat, ezzel párhuzamosan pedig alakítsanak ki szabályokat a sebezhetőséggel összefüggő rosszindulatú tevékenységek azonosítására. A Microsoft figyelmeztetése ismét rávilágít az arra a rizikóra, amit az ellátási láncokban széles körben használt hálózati összetevők hibái jelentenek. Erre volt látványos példa a Log4Shell nulladik napi sebezhetősége is, amelyet tavaly azonosítottak az Apache Log4j nyílt forrású naplózó eszközének 2.x verziójában, és a becslések szerint globálisan több mint hárommilliárd eszközt érintett.

Biztonság

CIO Hungary 2025: aki felkészül, az győz?

Beszámolónk második része a 16. CIO Hungary konferencia első napjáról, benne az elmaradhatatlan biztonsági panellel, amit természetesen már a mesterséges intelligencia is tematizált.
 
Hirdetés

Digitalizáció a mindennapokban: hogyan lesz a stratégiai célból napi működés?

A digitális transzformáció sok vállalatnál már nem cél, hanem elvárás – mégis gyakran megreked a tervezőasztalon. A vezetői szinten megfogalmazott ambiciózus tervek nehezen fordulnak át napi működéssé, ha hiányzik a technológiai rugalmasság vagy a belső kohézió.

Azok a vállalatok, amelyek gyorsabban, intelligensebben és empatikusabban tudnak reagálni ügyfeleik kérdéseire, összességében értékesebb, hosszabb távú kapcsolatokat építhetnek ki.

CIO KUTATÁS

AZ IRÁNYÍTÁS VISSZASZERZÉSE

Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?

Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!

Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.

LÁSSUNK NEKI!

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2025 Bitport.hu Média Kft. Minden jog fenntartva.