باگ VoIP Mitel در حملات باج افزار مورد سوء استفاده قرار گرفت

گروه‌های باج‌افزار از نسخه‌های اصلاح‌نشده برنامه Mitel VoIP (صدا از طریق پروتکل اینترنت) مبتنی بر لینوکس سوء استفاده می‌کنند و از آن به عنوان یک بدافزار در سیستم‌های هدف استفاده می‌کنند. نقص اجرای کد از راه دور بحرانی (RCE)، به عنوان ردیابی شد CVE-2022-29499، اول بود گزارش Crowdstrike در ماه آوریل به عنوان یک آسیب پذیری روز صفر و اکنون وصله شده است.

Mitel به دلیل ارائه سیستم های تلفن تجاری و ارتباطات یکپارچه به عنوان یک سرویس (UCaaS) به همه اشکال سازمان ها مشهور است. Mitel بر روی فناوری VoIP تمرکز دارد که به کاربران اجازه می دهد با استفاده از اتصال اینترنت به جای خطوط تلفن معمولی، تماس های تلفنی برقرار کنند.

به گفته Crowdstrike، این آسیب‌پذیری بر دستگاه‌های Mitel MiVoice SA 100، SA 400 و Virtual SA تأثیر می‌گذارد. MiVoice یک رابط کاربری ساده برای گرد هم آوردن تمامی ارتباطات و ابزارها فراهم می کند.

باگ برای نصب باج افزار مورد سوء استفاده قرار گرفت  

محققی در Crowdstrike اخیراً یک حمله مشکوک باج افزار را بررسی کرده است. تیم محققان این نفوذ را به سرعت مدیریت کردند، اما معتقدند که آسیب‌پذیری (CVE-2022-29499) در حمله باج‌افزار دخالت دارد.

Crowdstrike منشأ فعالیت های مخرب مرتبط با یک آدرس IP مرتبط با یک دستگاه VoIP مبتنی بر لینوکس Mitel را شناسایی می کند. تجزیه و تحلیل بیشتر منجر به کشف یک سوء استفاده از کد راه دور جدید شد.

پاتریک بنت گفت: "دستگاه آفلاین شد و برای تجزیه و تحلیل بیشتر تصویربرداری شد، که منجر به کشف یک سوء استفاده جدید اجرای کد از راه دور مورد استفاده توسط عامل تهدید برای دسترسی اولیه به محیط شد." در یک پست وبلاگ نوشت.

این اکسپلویت شامل دو درخواست GET است. اولی پارامتر "get_url" یک فایل PHP را هدف قرار می دهد و دومی از خود دستگاه نشات می گیرد.

این محقق توضیح داد: "این اولین درخواست ضروری بود زیرا URL آسیب پذیر واقعی از دریافت درخواست از آدرس های IP خارجی محدود شده بود."

درخواست دوم با انجام یک درخواست HTTP GET به زیرساخت کنترل شده توسط مهاجم، تزریق فرمان را اجرا می کند و دستور ذخیره شده را در سرور مهاجم اجرا می کند.

به گفته محققان، دشمن از این نقص برای ایجاد یک پوسته معکوس با SSL از طریق دستور "mkfifo" و "openssl_client" برای ارسال درخواست‌های خروجی از شبکه در معرض خطر استفاده می‌کند. دستور "mkfifo" برای ایجاد یک فایل خاص که توسط پارامتر فایل مشخص شده است استفاده می شود و می تواند توسط چندین فرآیند برای اهداف خواندن یا نوشتن باز شود.

هنگامی که پوسته معکوس ایجاد شد، مهاجم یک پوسته وب به نام "pdf_import.php" ایجاد کرد. محتوای اصلی پوسته وب بازیابی نشد، اما محققان یک فایل گزارش را شناسایی کردند که شامل یک درخواست POST به همان آدرس IP است که اکسپلویت از آن منشا گرفته است. دشمن همچنین یک ابزار تونل زنی به نام «Chisel» را روی دستگاه‌های VoIP دانلود کرد تا بدون شناسایی شدن، بیشتر به شبکه بپیوندد.

Crowdstrike همچنین تکنیک های ضد پزشکی قانونی را که توسط عوامل تهدید برای پنهان کردن فعالیت انجام می شود، شناسایی می کند.

اگرچه عامل تهدید تمام فایل‌ها را از سیستم فایل دستگاه VoIP حذف کرد، CrowdStrike توانست داده‌های پزشکی قانونی را از دستگاه بازیابی کند. بنت می‌گوید که این شامل سوءاستفاده اولیه و بدون سند مورد استفاده برای به خطر انداختن دستگاه، ابزارهایی که متعاقباً توسط عامل تهدید در دستگاه دانلود می‌شود، و حتی شواهدی از اقدامات ضد پزشکی قانونی خاص انجام‌شده توسط عامل تهدید می‌شود.

Mitel منتشر کرد مشاوره امنیتی در 19 آوریل 2022، برای MiVoice Connect نسخه‌های 19.2 SP3 و نسخه‌های قبلی. در حالی که هنوز هیچ پچ رسمی منتشر نشده است.

دستگاه های آسیب پذیر Mitel در Shodan

محقق امنیتی کوین بومونت یک رشته "http.html_hash:-1971546278" را برای جستجوی دستگاه های آسیب پذیر Mitel در موتور جستجوی Shodan به اشتراک گذاشت. موضوع توییتر.

به گفته کوین، تقریباً 21,000 دستگاه Mitel در دسترس عموم در سراسر جهان وجود دارد که اکثر آنها در ایالات متحده واقع شده اند و پس از آن انگلستان جانشین آن شد.

توصیه های کاهش Mitel 

Crowdstrike توصیه می‌کند که سازمان‌ها مکانیسم‌های دفاعی را با انجام مدل‌سازی تهدید و شناسایی فعالیت‌های مخرب تشدید کنند. این محقق همچنین توصیه کرد که دارایی‌های حیاتی و دستگاه‌های پیرامونی را از هم جدا کنید تا کنترل دسترسی را در صورت آسیب‌دیدگی دستگاه‌های محیطی محدود کنید.

وصله به موقع برای محافظت از دستگاه های محیطی بسیار مهم است. با این حال، زمانی که عوامل تهدید از یک آسیب‌پذیری غیرمستند سوء استفاده می‌کنند، اصلاح به موقع بی‌اهمیت می‌شود.»