I ricercatori avvertono che gli attori delle minacce stanno utilizzando un nuovo exploit di esecuzione di codice remoto per ottenere l'accesso iniziale agli ambienti delle vittime.
I gruppi di ransomware stanno abusando di versioni senza patch di un'applicazione Mitel VoIP (Voice over Internet Protocol) basata su Linux e la utilizzano come trampolino di lancio per piantare malware su sistemi mirati. Il difetto critico di esecuzione di codice remoto (RCE), tracciato come CVE-2022-29499, è stato il primo segnalazione di Crowdstrike ad aprile come una vulnerabilità zero-day e ora è stata corretta.
Mitel è nota per la fornitura di sistemi telefonici aziendali e comunicazioni unificate come servizio (UCaaS) a tutte le forme di organizzazione. Il Mitel si concentra sulla tecnologia VoIP che consente agli utenti di effettuare telefonate utilizzando una connessione Internet anziché le normali linee telefoniche.
Secondo Crowdstrike, la vulnerabilità interessa le appliance Mitel MiVoice SA 100, SA 400 e Virtual SA. MiVoice fornisce un'interfaccia semplice per riunire tutte le comunicazioni e gli strumenti.
Bug sfruttato per piantare ransomware
Un ricercatore di Crowdstrike ha recentemente indagato su un sospetto attacco ransomware. Il team di ricercatori ha gestito rapidamente l'intrusione, ma crede al coinvolgimento della vulnerabilità (CVE-2022-29499) nell'attacco del ransomware.
Il Crowdstrike identifica l'origine di attività dannose collegate a un indirizzo IP associato a un'appliance VoIP Mitel basata su Linux. Ulteriori analisi hanno portato alla scoperta di un nuovo exploit di codice remoto.
"Il dispositivo è stato portato offline e sottoposto a imaging per ulteriori analisi, portando alla scoperta di un nuovo exploit di esecuzione di codice remoto utilizzato dall'attore delle minacce per ottenere l'accesso iniziale all'ambiente", Patrick Bennet ha scritto in un post sul blog.
L'exploit coinvolge due richieste GET. Il primo ha come target un parametro "get_url" di un file PHP e il secondo ha origine dal dispositivo stesso.
"Questa prima richiesta era necessaria perché l'URL vulnerabile effettivo non poteva ricevere richieste da indirizzi IP esterni", ha spiegato il ricercatore.
La seconda richiesta esegue l'iniezione del comando eseguendo una richiesta HTTP GET all'infrastruttura controllata dall'attaccante ed esegue il comando archiviato sul server dell'attaccante.
Secondo i ricercatori, l'avversario utilizza il difetto per creare una shell inversa abilitata per SSL tramite il comando "mkfifo" e "openssl_client" per inviare richieste in uscita dalla rete compromessa. Il comando "mkfifo" viene utilizzato per creare un file speciale specificato dal parametro file e può essere aperto da più processi per scopi di lettura o scrittura.
Una volta stabilita la shell inversa, l'attaccante ha creato una shell web denominata "pdf_import.php". Il contenuto originale della web shell non è stato recuperato, ma i ricercatori identificano un file di registro che include una richiesta POST allo stesso indirizzo IP da cui ha avuto origine l'exploit. L'avversario ha anche scaricato uno strumento di tunneling chiamato "Chisel" sulle apparecchiature VoIP per spostarsi ulteriormente nella rete senza essere rilevato.
Il Crowdstrike identifica anche le tecniche antiforensi eseguite dagli attori della minaccia per nascondere l'attività.
“Sebbene l'attore delle minacce abbia eliminato tutti i file dal filesystem del dispositivo VoIP, CrowdStrike è stato in grado di recuperare i dati forensi dal dispositivo. Ciò includeva l'exploit iniziale non documentato utilizzato per compromettere il dispositivo, gli strumenti successivamente scaricati dall'attore della minaccia sul dispositivo e persino prove di specifiche misure antiforensi adottate dall'attore della minaccia", ha affermato Bennett.
Mitel ha rilasciato a consulenza sulla sicurezza il 19 aprile 2022, per MiVoice Connect versioni 19.2 SP3 e precedenti. Anche se non è stata ancora rilasciata alcuna patch ufficiale.
Dispositivi Mitel vulnerabili su Shodan
Il ricercatore di sicurezza Kevin Beaumont ha condiviso una stringa "http.html_hash:-1971546278" per cercare i dispositivi Mitel vulnerabili sul motore di ricerca Shodan in un Thread di Twitter.
Secondo Kevin, ci sono circa 21,000 elettrodomestici Mitel accessibili al pubblico in tutto il mondo, la maggior parte dei quali si trova negli Stati Uniti, seguiti dal Regno Unito.
Raccomandazioni per la mitigazione degli acari
Crowdstrike consiglia alle organizzazioni di rafforzare i meccanismi di difesa eseguendo la modellazione delle minacce e identificando le attività dannose. Il ricercatore ha anche consigliato di separare le risorse critiche e i dispositivi perimetrali per limitare il controllo degli accessi nel caso in cui i dispositivi perimetrali siano compromessi.
“Un patch tempestivo è fondamentale per proteggere i dispositivi perimetrali. Tuttavia, quando gli attori delle minacce sfruttano una vulnerabilità non documentata, l'applicazione tempestiva di patch diventa irrilevante", ha spiegato Bennett.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
