محققین نے خبردار کیا ہے کہ دھمکی دینے والے اداکار متاثرین کے ماحول تک ابتدائی رسائی حاصل کرنے کے لیے ریموٹ کوڈ پر عمل درآمد کے استحصال کا استعمال کر رہے ہیں۔
Ransomware گروپس لینکس پر مبنی Mitel VoIP (وائس اوور انٹرنیٹ پروٹوکول) ایپلی کیشن کے بغیر پیچ شدہ ورژن کا غلط استعمال کر رہے ہیں اور اسے ہدف والے سسٹمز پر اسپرنگ بورڈ پلانٹ میلویئر کے طور پر استعمال کر رہے ہیں۔ اہم ریموٹ کوڈ ایگزیکیوشن (RCE) کی خرابی، جیسا کہ ٹریک کیا گیا ہے۔ CVE-2022-29499، سب سے پہلے تھا کراؤڈ اسٹرائیک کی رپورٹ اپریل میں ایک صفر دن کے خطرے کے طور پر اور اب پیچ کر دیا گیا ہے۔
Mitel تمام قسم کی تنظیموں کو بزنس فون سسٹم اور یونیفائیڈ کمیونیکیشن بطور سروس (UCaaS) فراہم کرنے کے لیے مشہور ہے۔ Mitel VoIP ٹیکنالوجی پر توجہ مرکوز کرتا ہے جو صارفین کو باقاعدہ ٹیلی فون لائنوں کے بجائے انٹرنیٹ کنکشن کے ذریعے فون کال کرنے کی اجازت دیتا ہے۔
Crowdstrike کے مطابق، کمزوری Mitel MiVoice آلات SA 100، SA 400 اور Virtual SA کو متاثر کرتی ہے۔ MiVoice تمام مواصلات اور آلات کو ایک ساتھ لانے کے لیے ایک سادہ انٹرفیس فراہم کرتا ہے۔
رینسم ویئر پلانٹ کرنے کے لیے بگ کا استحصال کیا گیا۔
کراؤڈ اسٹرائیک کے محقق نے حال ہی میں ایک مشتبہ رینسم ویئر حملے کی تحقیقات کی۔ محققین کی ٹیم نے مداخلت کو تیزی سے سنبھال لیا، لیکن یقین ہے کہ رینسم ویئر اسٹرائیک میں کمزوری (CVE-2022-29499) کی شمولیت ہے۔
کراؤڈ اسٹرائیک لینکس پر مبنی Mitel VoIP آلات سے وابستہ IP ایڈریس سے منسلک بدنیتی پر مبنی سرگرمی کی اصل کی نشاندہی کرتا ہے۔ مزید تجزیہ کے نتیجے میں ایک ناول ریموٹ کوڈ استحصال کی دریافت ہوئی۔
پیٹرک بینیٹ نے کہا، "آلہ کو آف لائن لے جایا گیا اور مزید تجزیہ کے لیے اس کی تصویر کشی کی گئی، جس کے نتیجے میں ماحول تک ابتدائی رسائی حاصل کرنے کے لیے دھمکی آمیز اداکار کے ذریعے استعمال کیے جانے والے ریموٹ کوڈ پر عمل درآمد کے استحصال کی دریافت ہوئی۔" بلاگ پوسٹ میں لکھا.
استحصال میں دو GET درخواستیں شامل ہیں۔ پہلا پی ایچ پی فائل کے "get_url" پیرامیٹر کو نشانہ بناتا ہے اور دوسرا خود آلہ سے شروع ہوتا ہے۔
"یہ پہلی درخواست ضروری تھی کیونکہ اصل کمزور URL کو بیرونی IP پتوں سے درخواستیں موصول ہونے سے روک دیا گیا تھا،" محقق نے وضاحت کی۔
دوسری درخواست حملہ آور کے زیر کنٹرول انفراسٹرکچر کو HTTP GET درخواست کر کے کمانڈ انجیکشن پر عمل درآمد کرتی ہے اور حملہ آور کے سرور پر ذخیرہ شدہ کمانڈ کو چلاتی ہے۔
محققین کے مطابق، مخالف "mkfifo" کمانڈ اور "openssl_client" کے ذریعے سمجھوتہ کیے گئے نیٹ ورک سے آؤٹ باؤنڈ درخواستیں بھیجنے کے لیے SSL- فعال ریورس شیل بنانے کے لیے خامی کا استعمال کرتا ہے۔ "mkfifo" کمانڈ کا استعمال فائل پیرامیٹر کے ذریعے مخصوص فائل بنانے کے لیے کیا جاتا ہے اور اسے پڑھنے یا لکھنے کے مقاصد کے لیے متعدد عمل کے ذریعے کھولا جا سکتا ہے۔
ایک بار جب ریورس شیل قائم ہو گیا، حملہ آور نے "pdf_import.php" کے نام سے ایک ویب شیل بنایا۔ ویب شیل کا اصل مواد برآمد نہیں ہوا لیکن محققین ایک لاگ فائل کی شناخت کرتے ہیں جس میں اسی IP ایڈریس پر POST کی درخواست شامل ہے جس سے استحصال شروع ہوا تھا۔ مخالف نے بغیر پتہ لگائے نیٹ ورک میں مزید محور کرنے کے لیے VoIP آلات پر "Chisel" نامی ٹنلنگ ٹول ڈاؤن لوڈ کیا۔
کراؤڈ اسٹرائیک اس سرگرمی کو چھپانے کے لیے دھمکی دینے والے اداکاروں کے ذریعے کی جانے والی اینٹی فارنزک تکنیکوں کی بھی نشاندہی کرتا ہے۔
"اگرچہ دھمکی آمیز اداکار نے VoIP ڈیوائس کے فائل سسٹم سے تمام فائلوں کو ڈیلیٹ کر دیا، لیکن CrowdStrike آلہ سے فرانزک ڈیٹا بازیافت کرنے میں کامیاب رہا۔ اس میں آلہ سے سمجھوتہ کرنے کے لیے استعمال ہونے والا ابتدائی غیر دستاویزی استحصال، بعد میں دھمکی دینے والے اداکار کے ذریعے ڈیوائس پر ڈاؤن لوڈ کیے گئے ٹولز، اور یہاں تک کہ دھمکی دینے والے اداکار کی طرف سے اٹھائے گئے مخصوص اینٹی فرانزک اقدامات کے ثبوت بھی شامل ہیں،‘‘ بینیٹ نے کہا۔
میٹل نے ایک جاری کیا۔ سیکورٹی مشاورتی 19 اپریل 2022 کو، MiVoice Connect ورژن 19.2 SP3 اور اس سے پہلے کے لیے۔ جبکہ ابھی تک کوئی باضابطہ پیچ جاری نہیں کیا گیا۔
شوڈن پر کمزور میٹل ڈیوائسز
سیکیورٹی محقق کیون بیومونٹ نے شوڈان سرچ انجن پر کمزور مائل ڈیوائسز کو تلاش کرنے کے لیے "http.html_hash:-1971546278" اسٹرنگ کا اشتراک کیا۔ ٹویٹر موضوع.
کیون کے مطابق، دنیا بھر میں تقریباً 21,000 عوامی طور پر قابل رسائی Mitel ایپلائینسز ہیں، جن میں سے اکثریت ریاستہائے متحدہ میں واقع ہے، جس کی کامیابی برطانیہ نے کی ہے۔
Mitel تخفیف کی سفارشات
کراؤڈ اسٹرائیک تجویز کرتا ہے کہ تنظیمیں خطرے کی ماڈلنگ کرکے اور بدنیتی پر مبنی سرگرمی کی نشاندہی کرکے دفاعی طریقہ کار کو سخت کریں۔ محقق نے اہم اثاثوں اور پیری میٹر ڈیوائسز کو الگ کرنے کا مشورہ بھی دیا ہے تاکہ پیرامیٹر ڈیوائسز سے سمجھوتہ ہونے کی صورت میں رسائی کنٹرول کو محدود کیا جا سکے۔
"پیرامیٹر ڈیوائسز کی حفاظت کے لیے بروقت پیچ کرنا بہت ضروری ہے۔ تاہم، جب دھمکی دینے والے اداکار غیر دستاویزی کمزوری کا استحصال کرتے ہیں، تو بروقت پیچ کرنا غیر متعلقہ ہو جاتا ہے،‘‘ بینیٹ نے وضاحت کی۔
