Napaka Mitel VoIP, izkoriščena v napadih z izsiljevalsko programsko opremo

Skupine izsiljevalske programske opreme zlorabljajo nepopravljene različice aplikacije Mitel VoIP (Voice over Internet Protocol) na osnovi Linuxa in jo uporabljajo kot odskočno desko za nameščanje zlonamerne programske opreme v ciljnih sistemih. Kritična napaka oddaljenega izvajanja kode (RCE), ki se spremlja kot CVE-2022-29499, je bil prvi poročilo Crowdstrike aprila kot ranljivost ničelnega dne in je zdaj popravljena.

Mitel je splošno znan po zagotavljanju poslovnih telefonskih sistemov in enotne komunikacije kot storitve (UCaaS) vsem oblikam organizacij. Mitel se osredotoča na tehnologijo VoIP, ki uporabnikom omogoča telefoniranje prek internetne povezave namesto običajnih telefonskih linij.

Glede na Crowdstrike ranljivost vpliva na naprave Mitel MiVoice SA 100, SA 400 in Virtual SA. MiVoice ponuja preprost vmesnik za združevanje vseh komunikacij in orodij.

Napaka, izkoriščena za nameščanje izsiljevalske programske opreme  

Raziskovalec pri Crowdstrike je pred kratkim preiskoval domnevni napad z izsiljevalsko programsko opremo. Skupina raziskovalcev je vdor hitro rešila, vendar verjamejo, da je v napad izsiljevalske programske opreme vpletena ranljivost (CVE-2022-29499).

Crowdstrike identificira izvor zlonamerne dejavnosti, povezane z naslovom IP, povezanim z napravo Mitel VoIP, ki temelji na Linuxu. Nadaljnja analiza je vodila do odkritja novega izkoriščanja oddaljene kode.

"Naprava je bila prekinjena in posneta za nadaljnjo analizo, kar je pripeljalo do odkritja novega izkoriščanja oddaljenega izvajanja kode, ki ga akter grožnje uporablja za pridobitev začetnega dostopa do okolja," Patrick Bennet napisal v blog postu.

Izkoriščanje vključuje dve zahtevi GET. Prvi cilja na parameter »get_url« datoteke PHP, drugi pa izvira iz same naprave.

"Ta prva zahteva je bila potrebna, ker je bil dejanski ranljivi URL omejen na prejemanje zahtev z zunanjih naslovov IP," je pojasnil raziskovalec.

Druga zahteva izvede vbrizgavanje ukaza tako, da izvede zahtevo HTTP GET za infrastrukturo, ki jo nadzoruje napadalec, in zažene shranjen ukaz na napadalčevem strežniku.

Po mnenju raziskovalcev nasprotnik uporablja napako za ustvarjanje povratne lupine, ki podpira SSL, prek ukaza »mkfifo« in »openssl_client« za pošiljanje izhodnih zahtev iz ogroženega omrežja. Ukaz »mkfifo« se uporablja za ustvarjanje posebne datoteke, določene s parametrom datoteke, in jo lahko odpre več procesov za namene branja ali pisanja.

Ko je bila vzpostavljena obratna lupina, je napadalec ustvaril spletno lupino z imenom »pdf_import.php«. Izvirna vsebina spletne lupine ni bila obnovljena, vendar raziskovalci identificirajo dnevniško datoteko, ki vključuje zahtevo POST na isti naslov IP, s katerega izvira izkoriščanje. Nasprotnik je tudi prenesel orodje za tuneliranje, imenovano "Chisel", na naprave VoIP, da bi se obrnil dlje v omrežje, ne da bi ga odkrili.

Crowdstrike identificira tudi protiforenzične tehnike, ki jih akterji groženj izvajajo za prikrivanje dejavnosti.

»Čeprav je akter grožnje izbrisal vse datoteke iz datotečnega sistema naprave VoIP, je CrowdStrike uspel obnoviti forenzične podatke iz naprave. To je vključevalo prvotno nedokumentirano izkoriščanje, uporabljeno za ogrožanje naprave, orodja, ki jih je povzročitelj grožnje pozneje prenesel v napravo, in celo dokaze o posebnih protiforenzičnih ukrepih, ki jih je izvajalec grožnje sprejel,« je dejal Bennett.

Mitel je izdal a varnostno svetovanje 19. aprila 2022 za MiVoice Connect različice 19.2 SP3 in starejše. Čeprav uradni popravek še ni bil izdan.

Ranljive naprave Mitel na Shodanu

Varnostni raziskovalec Kevin Beaumont je delil niz »http.html_hash:-1971546278« za iskanje ranljivih naprav Mitel v iskalniku Shodan v Cvrkutati Twitter.

Po Kevinovih besedah ​​je po vsem svetu približno 21,000 javno dostopnih aparatov Mitel, od katerih jih je večina v Združenih državah, ki jih je nasledilo Združeno kraljestvo.

Mitelova priporočila za ublažitev 

Crowdstrike priporoča, da organizacije poostrijo obrambne mehanizme z izvajanjem modeliranja groženj in prepoznavanjem zlonamerne dejavnosti. Raziskovalec je tudi svetoval ločevanje kritičnih sredstev in perimetrskih naprav, da se omeji nadzor dostopa v primeru, da so perimetrske naprave ogrožene.

»Pravočasen popravek je ključnega pomena za zaščito perimetrskih naprav. Ko akterji groženj izkoristijo nedokumentirano ranljivost, postane pravočasno popravljanje popravkov nepomembno,« je pojasnil Bennett.