Các nhà nghiên cứu cảnh báo các tác nhân đe dọa đang sử dụng một cách khai thác thực thi mã từ xa mới để có được quyền truy cập ban đầu vào môi trường của nạn nhân.
Các nhóm ransomware đang lạm dụng các phiên bản chưa được vá của ứng dụng Mitel VoIP (Giao thức thoại qua Internet) dựa trên Linux và sử dụng nó như một phần mềm độc hại thực vật bàn đạp trên các hệ thống được nhắm mục tiêu. Lỗ hổng thực thi mã từ xa (RCE) quan trọng, được theo dõi là CVE-2022-29499, từng là đầu tiên báo cáo của Crowdstrike vào tháng XNUMX như một lỗ hổng zero-day và hiện đã được vá.
Mitel nổi tiếng với việc cung cấp hệ thống điện thoại doanh nghiệp và liên lạc hợp nhất như một dịch vụ (UCaaS) cho tất cả các hình thức tổ chức. Mitel tập trung vào công nghệ VoIP cho phép người dùng gọi điện bằng kết nối internet thay vì đường dây điện thoại thông thường.
Theo Crowdstrike, lỗ hổng này ảnh hưởng đến các thiết bị Mitel MiVoice SA 100, SA 400 và Virtual SA. MiVoice cung cấp một giao diện đơn giản để kết hợp tất cả các giao tiếp và công cụ lại với nhau.
Lỗi được khai thác để trồng phần mềm Ransomware
Nhà nghiên cứu tại Crowdstrike gần đây đã điều tra một cuộc tấn công nghi ngờ ransomware. Nhóm các nhà nghiên cứu đã xử lý vụ xâm nhập một cách nhanh chóng, nhưng tin rằng sự liên quan của lỗ hổng bảo mật (CVE-2022-29499) trong cuộc tấn công ransomware.
Crowdstrike xác định nguồn gốc của hoạt động độc hại được liên kết với địa chỉ IP được liên kết với thiết bị Mitel VoIP dựa trên Linux. Phân tích sâu hơn đã dẫn đến việc phát hiện ra một cách khai thác mã từ xa mới lạ.
“Thiết bị được đưa vào ngoại tuyến và được chụp ảnh để phân tích thêm, dẫn đến việc phát hiện ra một cách khai thác thực thi mã từ xa mới được kẻ đe dọa sử dụng để có được quyền truy cập ban đầu vào môi trường,” Patrick Bennet đã viết trong một bài đăng blog.
Việc khai thác liên quan đến hai yêu cầu GET. Tham số đầu tiên nhắm mục tiêu tham số “get_url” của tệp PHP và tham số thứ hai bắt nguồn từ chính thiết bị.
Nhà nghiên cứu giải thích: “Yêu cầu đầu tiên này là cần thiết vì URL có lỗ hổng thực tế bị hạn chế nhận yêu cầu từ các địa chỉ IP bên ngoài”.
Yêu cầu thứ hai thực hiện việc tiêm lệnh bằng cách thực hiện một yêu cầu HTTP GET tới cơ sở hạ tầng do kẻ tấn công kiểm soát và chạy lệnh được lưu trữ trên máy chủ của kẻ tấn công.
Theo các nhà nghiên cứu, kẻ thù sử dụng lỗ hổng này để tạo một trình bao đảo ngược hỗ trợ SSL thông qua lệnh “mkfifo” và “openssl_client” để gửi các yêu cầu đi từ mạng bị xâm nhập. Lệnh “mkfifo” được sử dụng để tạo một tệp đặc biệt được chỉ định bởi tham số tệp và có thể được mở bằng nhiều quy trình cho mục đích đọc hoặc ghi.
Khi trình bao ngược được thiết lập, kẻ tấn công đã tạo một trình bao web có tên “pdf_import.php”. Nội dung ban đầu của web shell không được phục hồi nhưng các nhà nghiên cứu xác định một tệp nhật ký bao gồm một yêu cầu POST tới cùng một địa chỉ IP mà hoạt động khai thác bắt nguồn từ đó. Kẻ thù cũng tải xuống một công cụ đào đường hầm có tên là “Chisel” vào các thiết bị VoIP để quay sâu hơn vào mạng mà không bị phát hiện.
Crowdstrike cũng xác định các kỹ thuật chống pháp y được thực hiện bởi các tác nhân đe dọa để che giấu hoạt động.
“Mặc dù kẻ đe dọa đã xóa tất cả các tệp khỏi hệ thống tệp của thiết bị VoIP, nhưng CrowdStrike vẫn có thể khôi phục dữ liệu pháp y từ thiết bị. Điều này bao gồm việc khai thác không có giấy tờ ban đầu được sử dụng để xâm phạm thiết bị, các công cụ sau đó được kẻ đe dọa tải xuống thiết bị và thậm chí bằng chứng về các biện pháp chống pháp y cụ thể được thực hiện bởi kẻ đe dọa, ”Bennett nói.
Mitel đã phát hành một tư vấn bảo mật vào ngày 19 tháng 2022 năm 19.2, dành cho MiVoice Connect phiên bản 3 SPXNUMX trở về trước. Trong khi chưa có bản vá chính thức nào được tung ra.
Thiết bị Mitel dễ bị tổn thương trên Shodan
Nhà nghiên cứu bảo mật Kevin Beaumont đã chia sẻ một chuỗi “http.html_hash: -1971546278” để tìm kiếm các thiết bị Mitel dễ bị tấn công trên công cụ tìm kiếm Shodan trong một Chủ đề Twitter.
Theo Kevin, có khoảng 21,000 thiết bị Mitel có thể truy cập công khai trên toàn thế giới, phần lớn trong số đó được đặt tại Hoa Kỳ, sau đó là Vương quốc Anh.
Các khuyến nghị giảm thiểu của Mitel
Crowdstrike khuyến nghị các tổ chức thắt chặt cơ chế phòng thủ bằng cách thực hiện mô hình hóa mối đe dọa và xác định hoạt động độc hại. Nhà nghiên cứu cũng khuyên bạn nên tách biệt các tài sản quan trọng và các thiết bị ngoại vi để hạn chế việc kiểm soát truy cập trong trường hợp các thiết bị ngoại vi bị xâm phạm.
“Vá kịp thời là rất quan trọng để bảo vệ các thiết bị ngoại vi. Tuy nhiên, khi các tác nhân đe dọa khai thác một lỗ hổng không có giấy tờ, việc vá lỗi kịp thời trở nên không thích hợp, ”Bennett giải thích.
