Mitel VoIP-fejl udnyttet i Ransomware-angreb

Ransomware-grupper misbruger ikke-patchede versioner af en Linux-baseret Mitel VoIP-applikation (Voice over Internet Protocol) og bruger den som springbræt til at plante malware på målrettede systemer. Den kritiske RCE-fejl (Remote Code execution), sporet som CVE-2022-29499, var først rapport fra Crowdstrike i april som en nul-dages sårbarhed og er nu rettet.

Mitel er populært kendt for at levere erhvervstelefonsystemer og unified communication as a service (UCaaS) til alle former for organisationer. Mitel fokuserer på VoIP-teknologi, der giver brugerne mulighed for at foretage telefonopkald ved hjælp af en internetforbindelse i stedet for almindelige telefonlinjer.

Ifølge Crowdstrike påvirker sårbarheden Mitel MiVoice-apparaterne SA 100, SA 400 og Virtual SA. MiVoice giver en enkel grænseflade til at bringe al kommunikation og værktøjer sammen.

Fejl udnyttet til at plante ransomware  

Forsker ved Crowdstrike undersøgte for nylig et formodet ransomware-angreb. Holdet af forskere håndterede indtrængen hurtigt, men tror på involveringen af ​​sårbarheden (CVE-2022-29499) i ransomware-angrebet.

Crowdstrike identificerer oprindelsen af ​​ondsindet aktivitet knyttet til en IP-adresse forbundet med en Linux-baseret Mitel VoIP-enhed. Yderligere analyse førte til opdagelsen af ​​en ny fjernkodeudnyttelse.

"Enheden blev taget offline og afbildet til yderligere analyse, hvilket førte til opdagelsen af ​​en ny fjernudførelse af kode, der blev brugt af trusselsaktøren til at få indledende adgang til miljøet," Patrick Bennet skrev i et blogindlæg.

Udnyttelsen involverer to GET-anmodninger. Den første målretter mod en "get_url"-parameter i en PHP-fil, og den anden stammer fra selve enheden.

"Denne første anmodning var nødvendig, fordi den faktiske sårbare URL var begrænset fra at modtage anmodninger fra eksterne IP-adresser," forklarede forskeren.

Den anden anmodning udfører kommandoinjektionen ved at udføre en HTTP GET-anmodning til den angriberkontrollerede infrastruktur og kører den lagrede kommando på angriberens server.

Ifølge forskerne bruger modstanderen fejlen til at skabe en SSL-aktiveret reverse shell via "mkfifo"-kommandoen og "openssl_client" til at sende udgående anmodninger fra det kompromitterede netværk. Kommandoen "mkfifo" bruges til at oprette en speciel fil specificeret af filparameteren og kan åbnes af flere processer til læse- eller skriveformål.

Når den omvendte shell var etableret, oprettede angriberen en web shell ved navn "pdf_import.php". Det originale indhold af web-skallen blev ikke gendannet, men forskerne identificerer en logfil, der indeholder en POST-anmodning til den samme IP-adresse, som udnyttelsen stammer fra. Modstanderen downloadede også et tunnelingsværktøj kaldet "Chisel" til VoIP-apparater for at dreje længere ind i netværket uden at blive opdaget.

Crowdstrike identificerer også anti-kriminaltekniske teknikker udført af trusselsaktører for at skjule aktiviteten.

“Selvom trusselsaktøren slettede alle filer fra VoIP-enhedens filsystem, var CrowdStrike i stand til at gendanne retsmedicinske data fra enheden. Dette inkluderede den første udokumenterede udnyttelse, der blev brugt til at kompromittere enheden, værktøjerne, der efterfølgende blev downloadet af trusselsaktøren til enheden, og endda beviser for specifikke anti-kriminaltekniske foranstaltninger, som trusselsaktøren har truffet,« sagde Bennett.

Mitel udgav en sikkerhedsrådgivende den 19. april 2022 for MiVoice Connect versioner 19.2 SP3 og tidligere. Selvom der endnu ikke er udgivet nogen officiel patch.

Sårbare Mitel-enheder på Shodan

Sikkerhedsforskeren Kevin Beaumont delte en streng "http.html_hash:-1971546278" for at søge efter sårbare Mitel-enheder på Shodan-søgemaskinen i en Twitter tråd.

Ifølge Kevin er der cirka 21,000 offentligt tilgængelige Mitel-apparater på verdensplan, hvoraf størstedelen er placeret i USA, efterfulgt af Storbritannien.

Mitel Mitigations anbefalinger 

Crowdstrike anbefaler, at organisationer strammer forsvarsmekanismer ved at udføre trusselsmodellering og identificere ondsindet aktivitet. Forskeren rådede også til at adskille de kritiske aktiver og perimeterenheder for at begrænse adgangskontrollen i tilfælde af, at perimeterenheder kompromitteres.

"Rettidig patching er afgørende for at beskytte perimeterenheder. Men når trusselsaktører udnytter en udokumenteret sårbarhed, bliver rettidig patching irrelevant,” forklarede Bennett.