محققان هشدار میدهند که عوامل تهدید از یک سوء استفاده جدید برای اجرای کد از راه دور برای دسترسی اولیه به محیطهای قربانی استفاده میکنند.
گروههای باجافزار از نسخههای اصلاحنشده برنامه Mitel VoIP (صدا از طریق پروتکل اینترنت) مبتنی بر لینوکس سوء استفاده میکنند و از آن به عنوان یک بدافزار در سیستمهای هدف استفاده میکنند. نقص اجرای کد از راه دور بحرانی (RCE)، به عنوان ردیابی شد CVE-2022-29499، اول بود گزارش Crowdstrike در ماه آوریل به عنوان یک آسیب پذیری روز صفر و اکنون وصله شده است.
Mitel به دلیل ارائه سیستم های تلفن تجاری و ارتباطات یکپارچه به عنوان یک سرویس (UCaaS) به همه اشکال سازمان ها مشهور است. Mitel بر روی فناوری VoIP تمرکز دارد که به کاربران اجازه می دهد با استفاده از اتصال اینترنت به جای خطوط تلفن معمولی، تماس های تلفنی برقرار کنند.
به گفته Crowdstrike، این آسیبپذیری بر دستگاههای Mitel MiVoice SA 100، SA 400 و Virtual SA تأثیر میگذارد. MiVoice یک رابط کاربری ساده برای گرد هم آوردن تمامی ارتباطات و ابزارها فراهم می کند.
باگ برای نصب باج افزار مورد سوء استفاده قرار گرفت
محققی در Crowdstrike اخیراً یک حمله مشکوک باج افزار را بررسی کرده است. تیم محققان این نفوذ را به سرعت مدیریت کردند، اما معتقدند که آسیبپذیری (CVE-2022-29499) در حمله باجافزار دخالت دارد.
Crowdstrike منشأ فعالیت های مخرب مرتبط با یک آدرس IP مرتبط با یک دستگاه VoIP مبتنی بر لینوکس Mitel را شناسایی می کند. تجزیه و تحلیل بیشتر منجر به کشف یک سوء استفاده از کد راه دور جدید شد.
پاتریک بنت گفت: "دستگاه آفلاین شد و برای تجزیه و تحلیل بیشتر تصویربرداری شد، که منجر به کشف یک سوء استفاده جدید اجرای کد از راه دور مورد استفاده توسط عامل تهدید برای دسترسی اولیه به محیط شد." در یک پست وبلاگ نوشت.
این اکسپلویت شامل دو درخواست GET است. اولی پارامتر "get_url" یک فایل PHP را هدف قرار می دهد و دومی از خود دستگاه نشات می گیرد.
این محقق توضیح داد: "این اولین درخواست ضروری بود زیرا URL آسیب پذیر واقعی از دریافت درخواست از آدرس های IP خارجی محدود شده بود."
درخواست دوم با انجام یک درخواست HTTP GET به زیرساخت کنترل شده توسط مهاجم، تزریق فرمان را اجرا می کند و دستور ذخیره شده را در سرور مهاجم اجرا می کند.
به گفته محققان، دشمن از این نقص برای ایجاد یک پوسته معکوس با SSL از طریق دستور "mkfifo" و "openssl_client" برای ارسال درخواستهای خروجی از شبکه در معرض خطر استفاده میکند. دستور "mkfifo" برای ایجاد یک فایل خاص که توسط پارامتر فایل مشخص شده است استفاده می شود و می تواند توسط چندین فرآیند برای اهداف خواندن یا نوشتن باز شود.
هنگامی که پوسته معکوس ایجاد شد، مهاجم یک پوسته وب به نام "pdf_import.php" ایجاد کرد. محتوای اصلی پوسته وب بازیابی نشد، اما محققان یک فایل گزارش را شناسایی کردند که شامل یک درخواست POST به همان آدرس IP است که اکسپلویت از آن منشا گرفته است. دشمن همچنین یک ابزار تونل زنی به نام «Chisel» را روی دستگاههای VoIP دانلود کرد تا بدون شناسایی شدن، بیشتر به شبکه بپیوندد.
Crowdstrike همچنین تکنیک های ضد پزشکی قانونی را که توسط عوامل تهدید برای پنهان کردن فعالیت انجام می شود، شناسایی می کند.
اگرچه عامل تهدید تمام فایلها را از سیستم فایل دستگاه VoIP حذف کرد، CrowdStrike توانست دادههای پزشکی قانونی را از دستگاه بازیابی کند. بنت میگوید که این شامل سوءاستفاده اولیه و بدون سند مورد استفاده برای به خطر انداختن دستگاه، ابزارهایی که متعاقباً توسط عامل تهدید در دستگاه دانلود میشود، و حتی شواهدی از اقدامات ضد پزشکی قانونی خاص انجامشده توسط عامل تهدید میشود.
Mitel منتشر کرد مشاوره امنیتی در 19 آوریل 2022، برای MiVoice Connect نسخههای 19.2 SP3 و نسخههای قبلی. در حالی که هنوز هیچ پچ رسمی منتشر نشده است.
دستگاه های آسیب پذیر Mitel در Shodan
محقق امنیتی کوین بومونت یک رشته "http.html_hash:-1971546278" را برای جستجوی دستگاه های آسیب پذیر Mitel در موتور جستجوی Shodan به اشتراک گذاشت. موضوع توییتر.
به گفته کوین، تقریباً 21,000 دستگاه Mitel در دسترس عموم در سراسر جهان وجود دارد که اکثر آنها در ایالات متحده واقع شده اند و پس از آن انگلستان جانشین آن شد.
توصیه های کاهش Mitel
Crowdstrike توصیه میکند که سازمانها مکانیسمهای دفاعی را با انجام مدلسازی تهدید و شناسایی فعالیتهای مخرب تشدید کنند. این محقق همچنین توصیه کرد که داراییهای حیاتی و دستگاههای پیرامونی را از هم جدا کنید تا کنترل دسترسی را در صورت آسیبدیدگی دستگاههای محیطی محدود کنید.
وصله به موقع برای محافظت از دستگاه های محیطی بسیار مهم است. با این حال، زمانی که عوامل تهدید از یک آسیبپذیری غیرمستند سوء استفاده میکنند، اصلاح به موقع بیاهمیت میشود.»