Исследователи предупреждают, что злоумышленники используют новый эксплойт для удаленного выполнения кода, чтобы получить первоначальный доступ к среде жертвы.
Группы вымогателей злоупотребляют неисправленными версиями приложения Mitel VoIP (передача голоса по интернет-протоколу) на базе Linux и используют его в качестве плацдарма для внедрения вредоносного ПО в целевые системы. Критическая уязвимость удаленного выполнения кода (RCE), отслеживаемая как CVE-2022-29499, был первым отчет Crowdstrike в апреле как уязвимость нулевого дня, и теперь она исправлена.
Компания Mitel широко известна тем, что предоставляет системы бизнес-телефонии и унифицированную связь как услугу (UCaaS) для всех форм организаций. Mitel фокусируется на технологии VoIP, позволяющей пользователям совершать телефонные звонки, используя подключение к Интернету вместо обычных телефонных линий.
По данным Crowdstrike, уязвимость затрагивает устройства Mitel MiVoice SA 100, SA 400 и Virtual SA. MiVoice предоставляет простой интерфейс для объединения всех коммуникаций и инструментов.
Ошибка, используемая для установки программ-вымогателей
Исследователь из Crowdstrike недавно расследовал предполагаемую атаку программы-вымогателя. Команда исследователей быстро справилась с вторжением, но считает, что уязвимость (CVE-2022-29499) связана с атакой программы-вымогателя.
Crowdstrike определяет источник вредоносной активности, связанной с IP-адресом, связанным с устройством Mitel VoIP на базе Linux. Дальнейший анализ привел к обнаружению нового эксплойта удаленного кода.
«Устройство было отключено и получено изображение для дальнейшего анализа, что привело к обнаружению новой уязвимости удаленного выполнения кода, используемой злоумышленником для получения начального доступа к среде», — Патрик Беннет. написал в сообщении блога.
Эксплойт включает в себя два GET-запроса. Первый нацелен на параметр «get_url» файла PHP, а второй исходит от самого устройства.
«Этот первый запрос был необходим, потому что реальный уязвимый URL-адрес был ограничен для получения запросов с внешних IP-адресов», — пояснил исследователь.
Второй запрос выполняет внедрение команды, выполняя HTTP-запрос GET к инфраструктуре, контролируемой злоумышленником, и запускает сохраненную команду на сервере злоумышленника.
По словам исследователей, злоумышленник использует уязвимость для создания обратной оболочки с поддержкой SSL с помощью команды «mkfifo» и «openssl_client» для отправки исходящих запросов из скомпрометированной сети. Команда «mkfifo» используется для создания специального файла, указанного параметром файла, и может быть открыта несколькими процессами для чтения или записи.
Как только обратная оболочка была установлена, злоумышленник создал веб-оболочку с именем «pdf_import.php». Исходное содержимое веб-шелла не было восстановлено, но исследователи идентифицировали файл журнала, который включает POST-запрос к тому же IP-адресу, с которого был отправлен эксплойт. Злоумышленник также загрузил инструмент туннелирования под названием «Chisel» на устройства VoIP, чтобы проникнуть дальше в сеть, не будучи обнаруженным.
Crowdstrike также определяет антикриминалистические методы, применяемые злоумышленниками для сокрытия своей деятельности.
«Несмотря на то, что злоумышленник удалил все файлы из файловой системы устройства VoIP, CrowdStrike удалось восстановить криминалистические данные с устройства. Это включало первоначальный незадокументированный эксплойт, использованный для компрометации устройства, инструменты, впоследствии загруженные злоумышленником на устройство, и даже доказательства конкретных антикриминалистических мер, предпринятых злоумышленником», — сказал Беннетт.
Mitel выпустила обеспечение безопасности 19 апреля 2022 г. для MiVoice Connect версий 19.2 SP3 и более ранних. Пока официального патча еще не выпущено.
Уязвимые устройства Mitel на Shodan
Исследователь безопасности Кевин Бомонт поделился строкой «http.html_hash:-1971546278» для поиска уязвимых устройств Mitel в поисковой системе Shodan в Тема Twitter.
По словам Кевина, во всем мире существует около 21,000 XNUMX общедоступных устройств Mitel, большинство из которых находится в Соединенных Штатах, а затем в Соединенном Королевстве.
Рекомендации Mitel по смягчению последствий
Crowdstrike рекомендует организациям ужесточить механизмы защиты, выполняя моделирование угроз и идентифицируя вредоносные действия. Исследователь также посоветовал отделить критически важные активы и устройства периметра, чтобы ограничить контроль доступа в случае взлома устройств периметра.
«Своевременное исправление критически важно для защиты устройств периметра. Однако, когда злоумышленники используют незадокументированную уязвимость, своевременное исправление становится неактуальным», — пояснил Беннетт.
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- Уязвимости
- безопасности веб-сайтов
- зефирнет
