Bug VoIP Mitel Dieksploitasi dalam Serangan Ransomware

Kelompok Ransomware menyalahgunakan versi aplikasi Mitel VoIP (Voice over Internet Protocol) berbasis Linux yang belum ditambal dan menggunakannya sebagai malware tanaman batu loncatan pada sistem yang ditargetkan. Cacat eksekusi kode jarak jauh (RCE) kritis, dilacak sebagai CVE-2022-29499, Yang pertama laporan oleh Crowdstrike pada bulan April sebagai kerentanan zero-day dan sekarang telah ditambal.

Mitel terkenal karena menyediakan sistem telepon bisnis dan komunikasi terpadu sebagai layanan (UCaaS) untuk semua bentuk organisasi. Mitel berfokus pada teknologi VoIP yang memungkinkan pengguna melakukan panggilan telepon menggunakan koneksi internet alih-alih saluran telepon biasa.

Menurut Crowdstrike, kerentanan mempengaruhi peralatan Mitel MiVoice SA 100, SA 400 dan Virtual SA. MiVoice menyediakan antarmuka sederhana untuk menyatukan semua komunikasi dan alat.

Bug Dieksploitasi untuk Menanam Ransomware  

Peneliti di Crowdstrike baru-baru ini menyelidiki dugaan serangan ransomware. Tim peneliti menangani penyusupan dengan cepat, tetapi percaya keterlibatan kerentanan (CVE-2022-29499) dalam serangan ransomware.

Crowdstrike mengidentifikasi asal aktivitas berbahaya yang ditautkan ke alamat IP yang terkait dengan perangkat VoIP Mitel berbasis Linux. Analisis lebih lanjut mengarah pada penemuan eksploitasi kode jarak jauh yang baru.

“Perangkat diambil offline dan dicitrakan untuk analisis lebih lanjut, yang mengarah pada penemuan eksploit eksekusi kode jarak jauh baru yang digunakan oleh aktor ancaman untuk mendapatkan akses awal ke lingkungan,” Patrick Bennet menulis di posting blog.

Eksploitasi melibatkan dua permintaan GET. Yang pertama menargetkan parameter "get_url" dari file PHP dan yang kedua berasal dari perangkat itu sendiri.

“Permintaan pertama ini diperlukan karena URL rentan yang sebenarnya dibatasi untuk menerima permintaan dari alamat IP eksternal,” jelas peneliti.

Permintaan kedua mengeksekusi injeksi perintah dengan melakukan permintaan HTTP GET ke infrastruktur yang dikendalikan penyerang dan menjalankan perintah yang disimpan di server penyerang.

Menurut para peneliti, musuh menggunakan kelemahan tersebut untuk membuat shell terbalik berkemampuan SSL melalui perintah “mkfifo” dan “openssl_client” untuk mengirim permintaan keluar dari jaringan yang disusupi. Perintah "mkfifo" digunakan untuk membuat file khusus yang ditentukan oleh parameter file dan dapat dibuka oleh beberapa proses untuk tujuan membaca atau menulis.

Setelah shell terbalik dibuat, penyerang membuat shell web bernama "pdf_import.php". Konten asli dari web shell tidak dipulihkan tetapi peneliti mengidentifikasi file log yang menyertakan permintaan POST ke alamat IP yang sama dengan asal eksploitasi tersebut. Musuh juga mengunduh alat penerowongan yang disebut "Pahat" ke peralatan VoIP untuk berputar lebih jauh ke dalam jaringan tanpa terdeteksi.

Crowdstrike juga mengidentifikasi teknik anti-forensik yang dilakukan oleh aktor ancaman untuk menyembunyikan aktivitas tersebut.

“Meskipun pelaku ancaman menghapus semua file dari sistem file perangkat VoIP, CrowdStrike dapat memulihkan data forensik dari perangkat. Ini termasuk eksploitasi awal yang tidak terdokumentasi yang digunakan untuk mengkompromikan perangkat, alat yang kemudian diunduh oleh pelaku ancaman ke perangkat, dan bahkan bukti tindakan anti-forensik khusus yang diambil oleh pelaku ancaman,” kata Bennett.

Mitel merilis penasehat keamanan pada 19 April 2022, untuk MiVoice Connect versi 19.2 SP3 dan sebelumnya. Meskipun belum ada patch resmi yang dirilis.

Perangkat Mitel Rentan di Shodan

Peneliti keamanan Kevin Beaumont membagikan string “http.html_hash:-1971546278” untuk mencari perangkat Mitel yang rentan di mesin pencari Shodan di Untaian Twitter.

Menurut Kevin, ada sekitar 21,000 perangkat Mitel yang dapat diakses publik di seluruh dunia, yang sebagian besar berlokasi di Amerika Serikat, digantikan oleh Inggris.

Rekomendasi Mitel Mitigasi 

Crowdstrike merekomendasikan agar organisasi memperketat mekanisme pertahanan dengan melakukan pemodelan ancaman dan mengidentifikasi aktivitas jahat. Peneliti juga menyarankan untuk memisahkan aset kritis dan perangkat perimeter untuk membatasi kontrol akses jika perangkat perimeter disusupi.

“Penambalan tepat waktu sangat penting untuk melindungi perangkat perimeter. Namun, ketika pelaku ancaman mengeksploitasi kerentanan yang tidak terdokumentasi, patching yang tepat waktu menjadi tidak relevan,” jelas Bennett.