Les chercheurs avertissent que les acteurs de la menace utilisent un nouvel exploit d'exécution de code à distance pour obtenir un accès initial aux environnements de la victime.
Les groupes de rançongiciels abusent des versions non corrigées d'une application Mitel VoIP (Voice over Internet Protocol) basée sur Linux et l'utilisent comme tremplin pour planter des logiciels malveillants sur des systèmes ciblés. La faille critique d'exécution de code à distance (RCE), suivie comme CVE-2022-29499, était premier rapport de Crowdstrike en avril en tant que vulnérabilité zero-day et est maintenant corrigé.
Mitel est connu pour fournir des systèmes téléphoniques professionnels et une communication unifiée en tant que service (UCaaS) à toutes les formes d'organisations. Le Mitel se concentre sur la technologie VoIP permettant aux utilisateurs de passer des appels téléphoniques en utilisant une connexion Internet au lieu des lignes téléphoniques ordinaires.
Selon Crowdstrike, la vulnérabilité affecte les appliances Mitel MiVoice SA 100, SA 400 et Virtual SA. Le MiVoice fournit une interface simple pour rassembler toutes les communications et tous les outils.
Bug exploité pour implanter un ransomware
Un chercheur de Crowdstrike a récemment enquêté sur une attaque présumée de ransomware. L'équipe de chercheurs a géré l'intrusion rapidement, mais pense à l'implication de la vulnérabilité (CVE-2022-29499) dans l'attaque du ransomware.
Le Crowdstrike identifie l'origine de l'activité malveillante liée à une adresse IP associée à une appliance Mitel VoIP basée sur Linux. Une analyse plus approfondie a conduit à la découverte d'un nouvel exploit de code à distance.
"L'appareil a été mis hors ligne et imagé pour une analyse plus approfondie, ce qui a conduit à la découverte d'un nouvel exploit d'exécution de code à distance utilisé par l'acteur de la menace pour obtenir un accès initial à l'environnement", Patrick Bennet a écrit dans un blog.
L'exploit implique deux requêtes GET. Le premier cible un paramètre "get_url" d'un fichier PHP et le second provient de l'appareil lui-même.
"Cette première requête était nécessaire car l'URL vulnérable réelle ne pouvait pas recevoir de requêtes d'adresses IP externes", a expliqué le chercheur.
La deuxième requête exécute l'injection de commande en effectuant une requête HTTP GET vers l'infrastructure contrôlée par l'attaquant et exécute la commande stockée sur le serveur de l'attaquant.
Selon les chercheurs, l'adversaire utilise la faille pour créer un reverse shell compatible SSL via la commande "mkfifo" et "openssl_client" pour envoyer des requêtes sortantes depuis le réseau compromis. La commande "mkfifo" est utilisée pour créer un fichier spécial spécifié par le paramètre file et peut être ouvert par plusieurs processus à des fins de lecture ou d'écriture.
Une fois le reverse shell établi, l'attaquant a créé un web shell nommé « pdf_import.php ». Le contenu original du shell Web n'a pas été récupéré, mais les chercheurs identifient un fichier journal qui inclut une requête POST à la même adresse IP que celle à l'origine de l'exploit. L'adversaire a également téléchargé un outil de tunnellisation appelé "Chisel" sur les appareils VoIP pour pivoter plus loin dans le réseau sans être détecté.
Le Crowdstrike identifie également les techniques anti-légales exécutées par les acteurs de la menace pour dissimuler l'activité.
"Bien que l'auteur de la menace ait supprimé tous les fichiers du système de fichiers de l'appareil VoIP, CrowdStrike a pu récupérer les données médico-légales de l'appareil. Cela comprenait l'exploit initial non documenté utilisé pour compromettre l'appareil, les outils téléchargés par la suite par l'acteur de la menace sur l'appareil, et même des preuves de mesures anti-légales spécifiques prises par l'acteur de la menace », a déclaré Bennett.
Mitel a publié un avis de sécurité le 19 avril 2022, pour les versions 19.2 SP3 et antérieures de MiVoice Connect. Bien qu'aucun patch officiel n'ait encore été publié.
Appareils Mitel vulnérables sur Shodan
Le chercheur en sécurité Kevin Beaumont a partagé une chaîne "http.html_hash:-1971546278" pour rechercher des appareils Mitel vulnérables sur le moteur de recherche Shodan dans un Fil de Twitter.
Selon Kevin, il existe environ 21,000 XNUMX appareils Mitel accessibles au public dans le monde, dont la majorité sont situés aux États-Unis, suivis par le Royaume-Uni.
Recommandations d'atténuation de Mitel
Crowdstrike recommande aux entreprises de renforcer leurs mécanismes de défense en effectuant une modélisation des menaces et en identifiant les activités malveillantes. Le chercheur a également conseillé de séparer les actifs critiques et les dispositifs de périmètre pour restreindre le contrôle d'accès au cas où les dispositifs de périmètre seraient compromis.
« L'application de correctifs en temps opportun est essentielle pour protéger les périphériques de périmètre. Cependant, lorsque les acteurs de la menace exploitent une vulnérabilité non documentée, la correction en temps opportun devient inutile », a expliqué Bennett.
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- vulnérabilités
- la sécurité d'un site web
- zéphyrnet
