Cercetătorii avertizează că actorii amenințărilor folosesc un nou exploit de execuție de cod la distanță pentru a obține acces inițial la mediile victimei.
Grupurile de ransomware abuzează de versiuni nepatchate ale unei aplicații Mitel VoIP (Voice over Internet Protocol) bazate pe Linux și o folosesc ca o rampă de lansare a programelor malware pe sistemele vizate. Defectul critic de execuție a codului la distanță (RCE), urmărit ca CVE-2022-29499, a fost primul raport de Crowdstrike în aprilie ca vulnerabilitate zero-day și acum este corectată.
Mitel este cunoscut pentru că furnizează sisteme telefonice pentru afaceri și comunicații unificate ca serviciu (UCaaS) pentru toate formele de organizații. Mitel se concentrează pe tehnologia VoIP care permite utilizatorilor să efectueze apeluri telefonice folosind o conexiune la internet în loc de liniile telefonice obișnuite.
Potrivit Crowdstrike, vulnerabilitatea afectează aparatele Mitel MiVoice SA 100, SA 400 și Virtual SA. MiVoice oferă o interfață simplă pentru a reuni toate comunicațiile și instrumentele.
Eroare exploatată pentru a planta ransomware
Un cercetător de la Crowdstrike a investigat recent un presupus atac ransomware. Echipa de cercetători a gestionat rapid intruziunea, dar consideră că implicarea vulnerabilității (CVE-2022-29499) în atacul ransomware.
Crowdstrike identifică originea activității rău intenționate legate de o adresă IP asociată cu un dispozitiv VoIP Mitel bazat pe Linux. O analiză ulterioară a dus la descoperirea unui nou exploit de cod la distanță.
„Dispozitivul a fost scos offline și fotografiat pentru analize ulterioare, ceea ce a condus la descoperirea unui nou exploit de execuție de cod la distanță folosit de actorul amenințării pentru a obține accesul inițial la mediu”, Patrick Bennet a scris într-un post pe blog.
Exploatarea implică două solicitări GET. Primul vizează un parametru „get_url” al unui fișier PHP, iar al doilea provine de la dispozitivul însuși.
„Această primă solicitare a fost necesară deoarece adresa URL vulnerabilă reală a fost restricționată de la primirea de solicitări de la adrese IP externe”, a explicat cercetătorul.
A doua solicitare execută injectarea comenzii prin efectuarea unei cereri HTTP GET către infrastructura controlată de atacator și rulează comanda stocată pe serverul atacatorului.
Potrivit cercetătorilor, adversarul folosește defectul pentru a crea un shell invers activat SSL prin comanda „mkfifo” și „openssl_client” pentru a trimite cereri de ieșire din rețeaua compromisă. Comanda „mkfifo” este utilizată pentru a crea un fișier special specificat de parametrul fișierului și poate fi deschisă prin mai multe procese în scopuri de citire sau scriere.
Odată ce shell-ul invers a fost stabilit, atacatorul a creat un shell web numit „pdf_import.php”. Conținutul original al shell-ului web nu a fost recuperat, dar cercetătorii identifică un fișier jurnal care include o solicitare POST la aceeași adresă IP de la care a provenit exploitul. Adversarul a descărcat, de asemenea, un instrument de tunel numit „Chisel” pe dispozitivele VoIP pentru a pivota mai mult în rețea fără a fi detectat.
Crowdstrike identifică, de asemenea, tehnici anti-legale efectuate de actorii amenințărilor pentru a ascunde activitatea.
„Deși actorul amenințării a șters toate fișierele din sistemul de fișiere al dispozitivului VoIP, CrowdStrike a reușit să recupereze datele criminalistice de pe dispozitiv. Aceasta a inclus exploit-ul inițial nedocumentat folosit pentru a compromite dispozitivul, instrumentele descărcate ulterior de actorul amenințării pe dispozitiv și chiar dovezi ale măsurilor anti-legale specifice luate de actorul amenințării”, a spus Bennett.
Mitel a eliberat un consiliere de securitate pe 19 aprilie 2022, pentru versiunile MiVoice Connect 19.2 SP3 și anterioare. Deși nu a fost lansat încă niciun patch oficial.
Dispozitive Mitel vulnerabile pe Shodan
Cercetătorul de securitate Kevin Beaumont a distribuit un șir „http.html_hash:-1971546278” pentru a căuta dispozitive Mitel vulnerabile pe motorul de căutare Shodan într-un Twitter thread.
Potrivit lui Kevin, în întreaga lume există aproximativ 21,000 de aparate Mitel accesibile public, dintre care majoritatea sunt situate în Statele Unite ale Americii, urmate de Regatul Unit.
Recomandări de atenuare Mitel
Crowdstrike recomandă organizațiilor să întărească mecanismele de apărare prin modelarea amenințărilor și identificarea activităților rău intenționate. Cercetătorul a sfătuit, de asemenea, separarea activelor critice și a dispozitivelor de perimetru pentru a restricționa controlul accesului în cazul în care dispozitivele de perimetru sunt compromise.
„Corectarea la timp este esențială pentru a proteja dispozitivele perimetrale. Cu toate acestea, atunci când actorii amenințărilor exploatează o vulnerabilitate nedocumentată, corecția la timp devine irelevantă”, a explicat Bennett.
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- Vulnerabilitățile
- securitatea site-ului
- zephyrnet
