Tutkijat varoittavat, että uhkatekijät käyttävät uutta koodin etäsuorituksen hyväksikäyttöä päästäkseen alustavasti uhrin ympäristöihin.
Ransomware-ryhmät käyttävät väärin Linux-pohjaisen Mitel VoIP (Voice over Internet Protocol) -sovelluksen korjaamattomia versioita ja käyttävät sitä ponnahduslautana haittaohjelmina kohdistetuissa järjestelmissä. Kriittinen etäkoodin suorittamisen (RCE) virhe, jäljitetty nimellä CVE-2022-29499, oli ensimmäinen Crowdstriken raportti huhtikuussa nollapäivän haavoittuvuudena, ja se on nyt korjattu.
Mitel tunnetaan yleisesti yrityspuhelinjärjestelmien ja yhtenäisen viestinnän palveluna (UCaaS) tarjoamisesta kaikenlaisille organisaatioille. Mitel keskittyy VoIP-teknologiaan, jonka avulla käyttäjät voivat soittaa puheluita käyttämällä Internet-yhteyttä tavallisten puhelinlinjojen sijaan.
Crowdstriken mukaan haavoittuvuus vaikuttaa Mitel MiVoice -laitteisiin SA 100, SA 400 ja Virtual SA. MiVoice tarjoaa yksinkertaisen käyttöliittymän yhdistää kaikki viestintä ja työkalut.
Bugia hyödynnettiin kiristyshaittaohjelmien istuttamiseen
Crowdstriken tutkija tutki äskettäin epäiltyä kiristysohjelmahyökkäystä. Tutkijaryhmä käsitteli tunkeutumisen nopeasti, mutta uskoo haavoittuvuuden (CVE-2022-29499) osallisuuden kiristysohjelmalakkoon.
Crowdstrike tunnistaa Linux-pohjaiseen Mitel VoIP -laitteeseen liittyvään IP-osoitteeseen linkitetyn haitallisen toiminnan alkuperän. Lisäanalyysi johti uuden etäkoodin hyväksikäytön löytämiseen.
"Laite otettiin offline-tilaan ja kuvattiin lisäanalyysiä varten, mikä johti uuden koodin etäsuorituksen hyväksikäytön löytämiseen, jota uhkatoimija käytti päästäkseen alustavasti ympäristöön", Patrick Bennet kirjoitti blogiviestissä.
Hyödyntäminen sisältää kaksi GET-pyyntöä. Ensimmäinen kohdistaa PHP-tiedoston "get_url"-parametriin ja toinen on peräisin itse laitteesta.
"Tämä ensimmäinen pyyntö oli tarpeen, koska todellinen haavoittuva URL-osoite oli rajoitettu vastaanottamasta pyyntöjä ulkoisista IP-osoitteista", tutkija selitti.
Toinen pyyntö suorittaa komennon lisäyksen suorittamalla HTTP GET -pyynnön hyökkääjän ohjaamalle infrastruktuurille ja suorittaa tallennetun komennon hyökkääjän palvelimelle.
Tutkijoiden mukaan vastustaja käyttää virhettä luodakseen SSL-yhteensopivan käänteisen kuoren komennolla "mkfifo" ja "openssl_client" lähettääkseen lähteviä pyyntöjä vaarantuneesta verkosta. "mkfifo"-komentoa käytetään tiedostoparametrin määrittämän erityisen tiedoston luomiseen, ja useat prosessit voivat avata sen lukemista tai kirjoittamista varten.
Kun käänteinen komentotulkki oli perustettu, hyökkääjä loi verkkokuoren nimeltä "pdf_import.php". Web shellin alkuperäistä sisältöä ei palautettu, mutta tutkijat tunnistavat lokitiedoston, joka sisältää POST-pyynnön samaan IP-osoitteeseen, josta hyväksikäyttö on peräisin. Vastustaja latasi myös tunnelointityökalun nimeltä "Chisel" VoIP-laitteisiin kääntyäkseen pidemmälle verkkoon ilman, että häntä havaittaisiin.
Crowdstrike tunnistaa myös rikoslääketieteen vastaiset tekniikat, joita uhkaavat toimijat suorittavat toiminnan salaamiseksi.
"Vaikka uhkatekijä poisti kaikki tiedostot VoIP-laitteen tiedostojärjestelmästä, CrowdStrike pystyi palauttamaan rikostekniset tiedot laitteesta. Tämä sisälsi alkuperäisen dokumentoimattoman hyväksikäytön, jota käytettiin laitteen vaarantamiseen, työkalut, jotka uhkatekijä myöhemmin lataa laitteeseen, ja jopa todisteet uhkatoimijan toteuttamista erityisistä oikeuslääketieteellisistä toimenpiteistä, Bennett sanoi.
Mitel julkaisi a turvallisuusneuvonta 19. huhtikuuta 2022 MiVoice Connectin versioille 19.2 SP3 ja sitä vanhemmille. Vaikka virallista korjaustiedostoa ei ole vielä julkaistu.
Haavoittuvat Mitel-laitteet Shodanissa
Tietoturvatutkija Kevin Beaumont jakoi merkkijonon "http.html_hash:-1971546278" etsiäkseen haavoittuvia Mitel-laitteita Shodan-hakukoneessa Twitter thread.
Kevinin mukaan maailmanlaajuisesti on noin 21,000 XNUMX julkisesti saatavilla olevaa Mitel-laitetta, joista suurin osa sijaitsee Yhdysvalloissa, jota seuraa Iso-Britannia.
Mitelin lieventämissuositukset
Crowdstrike suosittelee, että organisaatiot kiristävät puolustusmekanismeja suorittamalla uhkamallinnusta ja tunnistamalla haitallista toimintaa. Tutkija neuvoi myös erottamaan kriittiset omaisuuserät ja kehälaitteet kulunvalvonnan rajoittamiseksi, jos kehälaitteet vaarantuvat.
”Aika-aikaiset paikat ovat erittäin tärkeitä reunalaitteiden suojaamiseksi. Kuitenkin, kun uhkatoimijat käyttävät hyväkseen dokumentoimatonta haavoittuvuutta, oikea-aikainen korjaus tulee merkityksettömäksi", Bennett selitti.
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- haavoittuvuuksia
- verkkosivuilla turvallisuus
- zephyrnet
