Дослідники попереджають, що суб’єкти загроз використовують новий експлойт віддаленого виконання коду, щоб отримати початковий доступ до середовища жертви.
Групи програм-вимагачів зловживають невиправленими версіями програми Mitel VoIP (протокол передачі голосу через Інтернет) на базі Linux і використовують її як плацдарм для встановлення шкідливих програм у цільові системи. Критичний недолік віддаленого виконання коду (RCE), відстежений як CVE-2022-29499, був першим звіт Crowdstrike у квітні як уразливість нульового дня і тепер виправлена.
Mitel широко відомий тим, що надає системи ділової телефонії та уніфікований зв'язок як послугу (UCaaS) для всіх форм організацій. Mitel зосереджується на технології VoIP, що дозволяє користувачам здійснювати телефонні дзвінки, використовуючи підключення до Інтернету замість звичайних телефонних ліній.
За даними Crowdstrike, вразливість стосується пристроїв Mitel MiVoice SA 100, SA 400 і Virtual SA. MiVoice забезпечує простий інтерфейс для об’єднання всіх засобів зв’язку та інструментів.
Використовується помилка для створення програм-вимагачів
Дослідник Crowdstrike нещодавно розслідував підозрювану атаку програм-вимагачів. Команда дослідників швидко впоралася з вторгненням, але вважають, що вразливість (CVE-2022-29499) була причетна до вимагання.
Crowdstrike визначає походження зловмисної діяльності, пов’язаної з IP-адресою, пов’язаною з пристроєм Mitel VoIP на базі Linux. Подальший аналіз призвів до відкриття нового експлойту віддаленого коду.
«Пристрій було виведено з мережі та зображено для подальшого аналізу, що призвело до виявлення нового експлойту віддаленого виконання коду, який використовував зловмисник для отримання початкового доступу до середовища», – Патрік Беннет. написав у блозі.
Експлойт включає два запити GET. Перший націлений на параметр get_url файлу PHP, а другий походить із самого пристрою.
«Цей перший запит був необхідний, оскільки фактична вразлива URL-адреса була обмежена для отримання запитів із зовнішніх IP-адрес», — пояснив дослідник.
Другий запит виконує ін'єкцію команди, виконуючи запит HTTP GET до інфраструктури, керованої зловмисником, і запускає збережену команду на сервері зловмисника.
За словами дослідників, зловмисник використовує цей недолік для створення зворотної оболонки з підтримкою SSL за допомогою команди «mkfifo» і «openssl_client» для відправки вихідних запитів із зламаної мережі. Команда «mkfifo» використовується для створення спеціального файлу, визначеного параметром файлу, і може бути відкрита кількома процесами для читання або запису.
Після встановлення зворотної оболонки зловмисник створив веб-оболонку під назвою «pdf_import.php». Початковий вміст веб-оболонки не було відновлено, але дослідники ідентифікують файл журналу, який містить запит POST на ту саму IP-адресу, з якої походить експлойт. Зловмисник також завантажив тунельний інструмент під назвою «Chisel» на VoIP-пристрої, щоб продовжити роботу в мережі, не будучи виявлений.
Crowdstrike також визначає антикриміналістичні методи, які застосовували суб’єкти загрози, щоб приховати діяльність.
«Незважаючи на те, що актор загрози видалив усі файли з файлової системи VoIP-пристрою, CrowdStrike зміг відновити криміналістичні дані з пристрою. Це включало початкову недокументовану експлойт, який використовувався для компрометації пристрою, інструменти, які згодом завантажив на пристрій загроза, і навіть докази конкретних антикриміналістичних заходів, вжитих зловмисником», — сказав Беннетт.
Мітель випустив а консультування з питань безпеки 19 квітня 2022 року для MiVoice Connect версії 19.2 SP3 і раніше. Хоча офіційний патч ще не випущений.
Уразливі пристрої Mitel на Shodan
Дослідник безпеки Кевін Бомонт поділився рядком «http.html_hash:-1971546278» для пошуку вразливих пристроїв Mitel у пошуковій системі Shodan у Потік Twitter.
За словами Кевіна, у всьому світі існує приблизно 21,000 XNUMX загальнодоступних пристроїв Mitel, більшість з яких розташовано в Сполучених Штатах, спадкоємцем яких стала Сполучене Королівство.
Рекомендації Mitel щодо пом'якшення
Crowdstrike рекомендує організаціям посилити механізми захисту шляхом моделювання загроз та виявлення шкідливої діяльності. Дослідник також порадив розділити критичні активи та пристрої периметра, щоб обмежити контроль доступу на випадок скомпрометації пристроїв периметра.
«Своєчасне виправлення має вирішальне значення для захисту периметральних пристроїв. Однак, коли суб’єкти загроз використовують незадокументовану вразливість, своєчасне виправлення стає неактуальним», – пояснив Беннетт.
