গবেষকরা সতর্ক করেছেন যে হুমকি অভিনেতারা শিকারের পরিবেশে প্রাথমিক অ্যাক্সেস পেতে একটি অভিনব রিমোট কোড এক্সিকিউশন শোষণ ব্যবহার করছে।
Ransomware গ্রুপগুলি একটি Linux-ভিত্তিক Mitel VoIP (ভয়েস ওভার ইন্টারনেট প্রোটোকল) অ্যাপ্লিকেশনের আনপ্যাচড সংস্করণের অপব্যবহার করছে এবং এটিকে লক্ষ্যযুক্ত সিস্টেমে একটি স্প্রিংবোর্ড প্ল্যান্ট ম্যালওয়্যার হিসাবে ব্যবহার করছে। সমালোচনামূলক রিমোট কোড এক্সিকিউশন (RCE) ত্রুটি, হিসাবে ট্র্যাক করা হয়েছে৷ জন্য CVE-2022-29499, প্রথম ছিল ক্রাউডস্ট্রাইক দ্বারা রিপোর্ট এপ্রিলে একটি শূন্য-দিনের দুর্বলতা হিসাবে এবং এখন প্যাচ করা হয়েছে।
Mitel জনপ্রিয়ভাবে ব্যবসায়িক ফোন সিস্টেম এবং ইউনিফাইড কমিউনিকেশন পরিষেবা (UCaaS) হিসাবে সব ধরনের প্রতিষ্ঠানকে প্রদানের জন্য পরিচিত। মিটেল ভিওআইপি প্রযুক্তির উপর ফোকাস করে যা ব্যবহারকারীদের নিয়মিত টেলিফোন লাইনের পরিবর্তে ইন্টারনেট সংযোগ ব্যবহার করে ফোন কল করতে দেয়।
ক্রাউডস্ট্রাইকের মতে, দুর্বলতা Mitel MiVoice অ্যাপ্লায়েন্স SA 100, SA 400 এবং ভার্চুয়াল SA-কে প্রভাবিত করে৷ MiVoice সমস্ত যোগাযোগ এবং সরঞ্জামগুলিকে একত্রে আনতে একটি সহজ ইন্টারফেস প্রদান করে৷
র্যানসমওয়্যার প্ল্যান্ট করার জন্য বাগ শোষণ করা হয়েছে
ক্রাউডস্ট্রাইকের গবেষক সম্প্রতি একটি সন্দেহভাজন র্যানসমওয়্যার আক্রমণের তদন্ত করেছেন। গবেষকদের দল দ্রুত অনুপ্রবেশকে পরিচালনা করেছে, তবে র্যানসমওয়্যার স্ট্রাইকের সাথে দুর্বলতার (CVE-2022-29499) জড়িত থাকার কথা বিশ্বাস করে।
ক্রাউডস্ট্রাইক লিনাক্স-ভিত্তিক মিটেল ভিওআইপি অ্যাপ্লায়েন্সের সাথে যুক্ত একটি আইপি ঠিকানার সাথে যুক্ত দূষিত কার্যকলাপের উত্স সনাক্ত করে। আরও বিশ্লেষণের ফলে একটি অভিনব রিমোট কোড এক্সপ্লয়েট আবিষ্কার হয়েছে।
"যন্ত্রটিকে অফলাইনে নেওয়া হয়েছিল এবং আরও বিশ্লেষণের জন্য চিত্রিত করা হয়েছিল, যার ফলে পরিবেশে প্রাথমিক অ্যাক্সেস পেতে হুমকি অভিনেতার দ্বারা ব্যবহৃত একটি অভিনব রিমোট কোড এক্সিকিউশন শোষণের আবিষ্কার হয়েছিল," প্যাট্রিক বেনেট একটি ব্লগ পোস্টে লিখেছেন.
শোষণ দুটি GET অনুরোধ জড়িত. প্রথমটি একটি পিএইচপি ফাইলের একটি "get_url" প্যারামিটারকে লক্ষ্য করে এবং দ্বিতীয়টি ডিভাইস থেকেই উদ্ভূত হয়।
"এই প্রথম অনুরোধটি প্রয়োজনীয় ছিল কারণ প্রকৃত দুর্বল ইউআরএলটি বহিরাগত আইপি ঠিকানাগুলি থেকে অনুরোধ পাওয়ার থেকে সীমাবদ্ধ ছিল," গবেষক ব্যাখ্যা করেছেন।
দ্বিতীয় অনুরোধটি আক্রমণকারী-নিয়ন্ত্রিত পরিকাঠামোতে একটি HTTP GET অনুরোধ সম্পাদন করে কমান্ড ইনজেকশন কার্যকর করে এবং আক্রমণকারীর সার্ভারে সঞ্চিত কমান্ড চালায়।
গবেষকদের মতে, প্রতিপক্ষ "mkfifo" কমান্ডের মাধ্যমে একটি SSL-সক্ষম বিপরীত শেল তৈরি করতে এবং "openssl_client" আপোসকৃত নেটওয়ার্ক থেকে আউটবাউন্ড অনুরোধ পাঠাতে ত্রুটি ব্যবহার করে। "mkfifo" কমান্ডটি ফাইল প্যারামিটার দ্বারা নির্দিষ্ট একটি বিশেষ ফাইল তৈরি করতে ব্যবহৃত হয় এবং পড়ার বা লেখার উদ্দেশ্যে একাধিক প্রক্রিয়া দ্বারা খোলা যেতে পারে।
একবার বিপরীত শেল প্রতিষ্ঠিত হলে, আক্রমণকারী "pdf_import.php" নামে একটি ওয়েব শেল তৈরি করে। ওয়েব শেলের মূল বিষয়বস্তু পুনরুদ্ধার করা হয়নি কিন্তু গবেষকরা একটি লগ ফাইল শনাক্ত করেছেন যাতে একই আইপি ঠিকানায় একটি POST অনুরোধ রয়েছে যেটি থেকে শোষণের উদ্ভব হয়েছিল৷ প্রতিপক্ষ ভিওআইপি যন্ত্রপাতিগুলিতে "চিজেল" নামক একটি টানেলিং টুল ডাউনলোড করেছে যাতে সনাক্ত না করেই নেটওয়ার্কে আরও পিভট করা যায়।
ক্রাউডস্ট্রাইক অ্যান্টি-ফরেনসিক কৌশলগুলিও চিহ্নিত করে যা হুমকি অভিনেতাদের কার্যকলাপ লুকানোর জন্য সম্পাদিত হয়।
“যদিও হুমকি অভিনেতা ভিওআইপি ডিভাইসের ফাইল সিস্টেম থেকে সমস্ত ফাইল মুছে ফেলেছিল, ক্রাউডস্ট্রাইক ডিভাইস থেকে ফরেনসিক ডেটা পুনরুদ্ধার করতে সক্ষম হয়েছিল। এর মধ্যে ডিভাইসটির সাথে আপস করার জন্য ব্যবহৃত প্রাথমিক অনথিভুক্ত শোষণ, পরবর্তীতে হুমকি অভিনেতার দ্বারা ডিভাইসে ডাউনলোড করা সরঞ্জাম এবং এমনকি হুমকি অভিনেতার দ্বারা নেওয়া নির্দিষ্ট অ্যান্টি-ফরেন্সিক ব্যবস্থার প্রমাণও অন্তর্ভুক্ত ছিল,” বেনেট বলেছেন।
মিটেল মুক্তি ক নিরাপত্তা অ্যাডভাইসারির 19 এপ্রিল, 2022-এ, MiVoice Connect সংস্করণ 19.2 SP3 এবং তার আগের সংস্করণগুলির জন্য। যদিও কোন অফিসিয়াল প্যাচ এখনও প্রকাশিত হয়নি।
শোদানে দুর্বল মাইটেল ডিভাইস
নিরাপত্তা গবেষক কেভিন বিউমন্ট একটি স্ট্রিং ভাগ করেছেন "http.html_hash:-1971546278" শোডান সার্চ ইঞ্জিনে দুর্বল মাইটেল ডিভাইসগুলি অনুসন্ধান করতে টুইটার থ্রেড.
কেভিনের মতে, বিশ্বব্যাপী আনুমানিক 21,000টি সর্বজনীনভাবে অ্যাক্সেসযোগ্য Mitel যন্ত্রপাতি রয়েছে, যার বেশিরভাগই মার্কিন যুক্তরাষ্ট্রে অবস্থিত, যুক্তরাজ্য দ্বারা সফল হয়েছে।
Mitel প্রশমন সুপারিশ
ক্রাউডস্ট্রাইক সুপারিশ করে যে সংগঠনগুলি হুমকি মডেলিং সম্পাদন করে এবং দূষিত কার্যকলাপ সনাক্ত করে প্রতিরক্ষা ব্যবস্থাকে শক্ত করে। গবেষক প্যারিমিটার ডিভাইসগুলি আপোস করা হলে অ্যাক্সেস নিয়ন্ত্রণকে সীমাবদ্ধ করার জন্য সমালোচনামূলক সম্পদ এবং ঘের ডিভাইসগুলিকে আলাদা করার পরামর্শ দিয়েছেন।
"ঘের ডিভাইসগুলিকে রক্ষা করার জন্য সময়মত প্যাচিং গুরুত্বপূর্ণ। যাইহোক, যখন হুমকি অভিনেতারা একটি অনথিভুক্ত দুর্বলতা শোষণ করে, সময়মত প্যাচিং অপ্রাসঙ্গিক হয়ে যায়, "বেনেট ব্যাখ্যা করেছেন।
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ফায়ারওয়াল
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- ভিপিএন
- দুর্বলতা
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
