Mitel VoIP-feil utnyttet i ransomware-angrep

Ransomware-grupper misbruker uoppdaterte versjoner av en Linux-basert Mitel VoIP (Voice over Internet Protocol)-applikasjon og bruker den som et springbrett for å plante skadevare på målrettede systemer. Den kritiske RCE-feilen (Remote Code execution), sporet som CVE-2022-29499, var først rapport fra Crowdstrike i april som en null-dagers sårbarhet og er nå rettet.

Mitel er populært kjent for å tilby forretningstelefonsystemer og enhetlig kommunikasjon som en tjeneste (UCaaS) til alle former for organisasjoner. Mitel fokuserer på VoIP-teknologi som lar brukere foreta telefonsamtaler ved hjelp av en internettforbindelse i stedet for vanlige telefonlinjer.

I følge Crowdstrike påvirker sårbarheten Mitel MiVoice-apparatene SA 100, SA 400 og Virtual SA. MiVoice gir et enkelt grensesnitt for å bringe all kommunikasjon og verktøy sammen.

Feil utnyttet til å plante ransomware  

Forsker ved Crowdstrike undersøkte nylig et mistenkt løsepenge-angrep. Teamet av forskere håndterte inntrengingen raskt, men tror at sårbarheten (CVE-2022-29499) var involvert i løsepengevarestreiken.

Crowdstrike identifiserer opprinnelsen til ondsinnet aktivitet knyttet til en IP-adresse knyttet til en Linux-basert Mitel VoIP-enhet. Ytterligere analyse førte til oppdagelsen av en ny ekstern kodeutnyttelse.

"Enheten ble tatt offline og avbildet for videre analyse, noe som førte til oppdagelsen av en ny ekstern kodeutførelse brukt av trusselaktøren for å få første tilgang til miljøet," Patrick Bennet skrev i et blogginnlegg.

Utnyttelsen involverer to GET-forespørsler. Den første retter seg mot en "get_url"-parameter til en PHP-fil, og den andre kommer fra selve enheten.

"Denne første forespørselen var nødvendig fordi den faktiske sårbare URLen var begrenset fra å motta forespørsler fra eksterne IP-adresser," forklarte forskeren.

Den andre forespørselen utfører kommandoinjeksjonen ved å utføre en HTTP GET-forespørsel til den angriperkontrollerte infrastrukturen og kjører den lagrede kommandoen på angriperens server.

Ifølge forskerne bruker motstanderen feilen til å lage et SSL-aktivert omvendt skall via "mkfifo"-kommandoen og "openssl_client" for å sende utgående forespørsler fra det kompromitterte nettverket. Kommandoen "mkfifo" brukes til å lage en spesiell fil spesifisert av filparameteren og kan åpnes av flere prosesser for lese- eller skriveformål.

Når det omvendte skallet ble etablert, opprettet angriperen et nettskall kalt "pdf_import.php". Det opprinnelige innholdet i web-skallet ble ikke gjenopprettet, men forskerne identifiserer en loggfil som inkluderer en POST-forespørsel til den samme IP-adressen som utnyttelsen stammet fra. Motstanderen lastet også ned et tunnelverktøy kalt "Chisel" til VoIP-enheter for å svinge videre inn i nettverket uten å bli oppdaget.

Crowdstrike identifiserer også anti-kriminaltekniske teknikker utført av trusselaktørene for å skjule aktiviteten.

"Selv om trusselaktøren slettet alle filer fra VoIP-enhetens filsystem, var CrowdStrike i stand til å gjenopprette rettsmedisinske data fra enheten. Dette inkluderte den første udokumenterte utnyttelsen som ble brukt for å kompromittere enheten, verktøyene som senere ble lastet ned av trusselaktøren til enheten, og til og med bevis på spesifikke anti-kriminaltekniske tiltak tatt av trusselaktøren,” sa Bennett.

Mitel ga ut en sikkerhetsrådgivende 19. april 2022 for MiVoice Connect versjoner 19.2 SP3 og tidligere. Selv om ingen offisiell patch er utgitt ennå.

Sårbare Mitel-enheter på Shodan

Sikkerhetsforskeren Kevin Beaumont delte en streng "http.html_hash:-1971546278" for å søke etter sårbare Mitel-enheter på Shodan-søkemotoren i en Twitter-tråden.

Ifølge Kevin er det omtrent 21,000 XNUMX offentlig tilgjengelige Mitel-apparater over hele verden, hvorav de fleste er lokalisert i USA, etterfulgt av Storbritannia.

Mitel-begrensningsanbefalinger 

Crowdstrike anbefaler at organisasjoner strammer inn forsvarsmekanismer ved å utføre trusselmodellering og identifisere ondsinnet aktivitet. Forskeren anbefalte også å skille de kritiske eiendelene og perimeterenhetene for å begrense tilgangskontrollen i tilfelle perimeterenhetene kompromitteres.

"Rettidig patching er avgjørende for å beskytte perimeterenheter. Men når trusselaktører utnytter en udokumentert sårbarhet, blir rettidig oppdatering irrelevant,” forklarte Bennett.