Os pesquisadores alertam que os agentes de ameaças estão usando uma nova exploração de execução remota de código para obter acesso inicial aos ambientes das vítimas.
Grupos de ransomware estão abusando de versões não corrigidas de um aplicativo Mitel VoIP (Voice over Internet Protocol) baseado em Linux e usando-o como um malware de planta de trampolim em sistemas direcionados. A falha crítica de execução remota de código (RCE), rastreada como CVE-2022-29499, foi primeiro relatório de Crowdstrike em abril como uma vulnerabilidade de dia zero e agora está corrigida.
A Mitel é popularmente conhecida por fornecer sistemas de telefonia empresarial e comunicação unificada como serviço (UCaaS) para todas as formas de organização. A Mitel se concentra na tecnologia VoIP, permitindo que os usuários façam chamadas telefônicas usando uma conexão à Internet em vez de linhas telefônicas comuns.
De acordo com a Crowdstrike, a vulnerabilidade afeta os appliances Mitel MiVoice SA 100, SA 400 e Virtual SA. O MiVoice fornece uma interface simples para reunir todas as comunicações e ferramentas.
Bug explorado para plantar ransomware
Pesquisador da Crowdstrike investigou recentemente uma suspeita de ataque de ransomware. A equipe de pesquisadores lidou com a invasão rapidamente, mas acredita no envolvimento da vulnerabilidade (CVE-2022-29499) no ataque do ransomware.
O Crowdstrike identifica a origem da atividade maliciosa vinculada a um endereço IP associado a um dispositivo Mitel VoIP baseado em Linux. Uma análise mais aprofundada levou à descoberta de uma nova exploração de código remoto.
“O dispositivo foi colocado offline e fotografado para análise posterior, levando à descoberta de uma nova exploração de execução remota de código usada pelo agente da ameaça para obter acesso inicial ao ambiente”, Patrick Bennet escreveu em seu blog.
A exploração envolve duas solicitações GET. O primeiro tem como alvo um parâmetro “get_url” de um arquivo PHP e o segundo tem origem no próprio dispositivo.
“Esta primeira solicitação foi necessária porque o URL vulnerável real foi impedido de receber solicitações de endereços IP externos”, explicou o pesquisador.
A segunda solicitação executa a injeção de comando executando uma solicitação HTTP GET para a infraestrutura controlada pelo invasor e executa o comando armazenado no servidor do invasor.
De acordo com os pesquisadores, o adversário usa a falha para criar um shell reverso habilitado para SSL por meio do comando “mkfifo” e “openssl_client” para enviar solicitações de saída da rede comprometida. O comando “mkfifo” é usado para criar um arquivo especial especificado pelo parâmetro file e pode ser aberto por vários processos para fins de leitura ou escrita.
Uma vez que o shell reverso foi estabelecido, o invasor criou um shell da web chamado “pdf_import.php”. O conteúdo original do web shell não foi recuperado, mas os pesquisadores identificam um arquivo de log que inclui uma solicitação POST para o mesmo endereço IP de origem da exploração. O adversário também baixou uma ferramenta de encapsulamento chamada “Chisel” em aparelhos VoIP para girar ainda mais na rede sem ser detectado.
O Crowdstrike também identifica técnicas anti-forenses executadas pelos agentes da ameaça para ocultar a atividade.
“Embora o agente da ameaça tenha excluído todos os arquivos do sistema de arquivos do dispositivo VoIP, a CrowdStrike conseguiu recuperar dados forenses do dispositivo. Isso inclui a exploração inicial não documentada usada para comprometer o dispositivo, as ferramentas posteriormente baixadas pelo agente da ameaça para o dispositivo e até evidências de medidas anti-forenses específicas tomadas pelo agente da ameaça”, disse Bennett.
A Mitel lançou um assessoria de segurança em 19 de abril de 2022, para o MiVoice Connect versões 19.2 SP3 e anteriores. Embora nenhum patch oficial tenha sido lançado ainda.
Dispositivos Mitel vulneráveis no Shodan
O pesquisador de segurança Kevin Beaumont compartilhou uma string “http.html_hash:-1971546278” para procurar dispositivos Mitel vulneráveis no mecanismo de pesquisa Shodan em um Discussão no Twitter.
De acordo com Kevin, existem aproximadamente 21,000 aparelhos Mitel acessíveis ao público em todo o mundo, a maioria dos quais está localizada nos Estados Unidos, sucedido pelo Reino Unido.
Recomendações de mitigação da Mitel
A Crowdstrike recomenda que as organizações reforcem os mecanismos de defesa realizando modelagem de ameaças e identificando atividades maliciosas. O pesquisador também aconselhou a segregação dos ativos críticos e dispositivos de perímetro para restringir o controle de acesso caso os dispositivos de perímetro sejam comprometidos.
“A correção oportuna é fundamental para proteger os dispositivos de perímetro. No entanto, quando os agentes de ameaças exploram uma vulnerabilidade não documentada, a correção oportuna se torna irrelevante”, explicou Bennett.
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- vulnerabilidades
- a segurança do website
- zefirnet
