Lunavararünnakutes kasutatud Mitel VoIP-viga

Lunavararühmad kuritarvitavad Linuxi-põhise Mitel VoIP (Voice over Internet Protocol) rakenduse parandamata versioone ja kasutavad seda sihitud süsteemides pahavara hüppelauana. Kriitiline kaugkoodi täitmise (RCE) viga, mida jälgitakse kui CVE-2022-29499, oli esimene Crowdstrike'i raport aprillis kui nullpäeva haavatavus ja on nüüd paigatud.

Mitel on tuntud selle poolest, et pakub äritelefonisüsteeme ja ühtset sidet teenusena (UCaaS) igat tüüpi organisatsioonidele. Mitel keskendub VoIP-tehnoloogiale, mis võimaldab kasutajatel tavaliste telefoniliinide asemel Interneti-ühendust kasutades helistada.

Crowdstrike'i andmetel mõjutab haavatavus Mitel MiVoice'i seadmeid SA 100, SA 400 ja Virtual SA. MiVoice pakub lihtsat liidest kogu suhtluse ja tööriistade koondamiseks.

Lunavara istutamiseks kasutatud viga  

Crowdstrike'i teadlane uuris hiljuti kahtlustatavat lunavararünnakut. Teadlaste meeskond käsitles sissetungi kiiresti, kuid usub, et haavatavus (CVE-2022-29499) oli seotud lunavararünnakuga.

Crowdstrike tuvastab pahatahtliku tegevuse päritolu, mis on seotud Linuxi-põhise Mitel VoIP-seadmega seotud IP-aadressiga. Edasine analüüs viis uudse kaugkoodi ärakasutamise avastamiseni.

"Seade võeti võrguühenduseta ja pildistati edasiseks analüüsiks, mis viis uudse koodi kaugkäitamise ärakasutamise avastamiseni, mida ohutegija kasutas keskkonnale esialgse juurdepääsu saamiseks," ütles Patrick Bennet. kirjutas blogipostituses.

Kasutamine hõlmab kahte GET-i päringut. Esimene sihib PHP-faili parameetrit "get_url" ja teine ​​pärineb seadmest endast.

"See esimene taotlus oli vajalik, kuna tegelik haavatav URL ei saanud välistelt IP-aadressidelt päringuid vastu võtta," selgitas teadlane.

Teine päring täidab käsusüsti, esitades ründaja juhitavale infrastruktuurile HTTP GET-päringu ja käivitab salvestatud käsu ründaja serveris.

Teadlaste sõnul kasutab vastane viga SSL-i toega pöördkesta loomiseks käsu "mkfifo" ja "openssl_client" kaudu, et saata ohustatud võrgust väljaminevaid päringuid. Käsku "mkfifo" kasutatakse failiparameetriga määratud spetsiaalse faili loomiseks ja seda saab lugemiseks või kirjutamiseks avada mitme protsessiga.

Kui vastupidine kest oli loodud, lõi ründaja veebikesta nimega "pdf_import.php". Veebikesta algset sisu ei taastatud, kuid teadlased tuvastavad logifaili, mis sisaldab POST-i päringut samale IP-aadressile, millelt ärakasutamine pärines. Vastane laadis VoIP-seadmetele alla ka tunneldamistööriista nimega "Chisel", et seda tuvastamata veelgi võrku pöörata.

Crowdstrike tuvastab ka kohtuekspertiisi võtted, mida ohus osalejad tegevuse varjamiseks kasutavad.

"Kuigi ohustaja kustutas kõik failid VoIP-seadme failisüsteemist, suutis CrowdStrike seadmest kohtuekspertiisi andmed taastada. See hõlmas esialgset dokumentideta ärakasutamist, mida kasutati seadme ohustamiseks, tööriistu, mille ohutegija seejärel seadmesse alla laadis, ja isegi tõendeid ohus osaleja konkreetsete kohtuekspertiisi meetmete kohta, ”ütles Bennett.

Mitel vabastas a turvalisuse nõustamine 19. aprillil 2022 MiVoice Connecti versioonide 19.2 SP3 ja varasemate versioonide jaoks. Kuigi ametlikku plaastrit pole veel välja antud.

Haavatavad Mitel-seadmed Shodanis

Turvauurija Kevin Beaumont jagas stringi "http.html_hash:-1971546278", et otsida Shodani otsingumootoris haavatavaid Miteli seadmeid. Twitter thread.

Kevini sõnul on maailmas ligikaudu 21,000 XNUMX avalikult juurdepääsetavat Miteli seadet, millest suurem osa asub Ameerika Ühendriikides, mille järglaseks on Ühendkuningriik.

Miteli leevendussoovitused 

Crowdstrike soovitab organisatsioonidel tugevdada kaitsemehhanisme ohtude modelleerimise ja pahatahtliku tegevuse tuvastamise kaudu. Samuti soovitas teadlane eraldada kriitilised varad ja perimeetriseadmed, et piirata juurdepääsu kontrolli juhuks, kui perimeetri seadmed satuvad ohtu.

"Õigeaegne paikamine on perimeetri seadmete kaitsmiseks ülioluline. Kui aga ohus osalejad kasutavad ära dokumentideta haavatavust, muutub õigeaegne paikamine ebaoluliseks, ”selgitas Bennett.