研究人员警告说,威胁参与者正在使用一种新颖的远程代码执行漏洞来获得对受害者环境的初始访问权限。
勒索软件团体正在滥用基于 Linux 的 Mitel VoIP(互联网协议语音)应用程序的未修补版本,并将其用作目标系统上的跳板植物恶意软件。 关键的远程代码执行 (RCE) 缺陷,跟踪为 CVE-2022-29499, 是第一个 Crowdstrike 的报告 在 XNUMX 月作为零日漏洞,现已修补。
Mitel 以向所有形式的组织提供商务电话系统和统一通信即服务 (UCaaS) 而闻名。 Mitel 专注于 VoIP 技术,允许用户使用互联网连接而不是普通电话线拨打电话。
据 Crowdstrike 称,该漏洞影响 Mitel MiVoice 设备 SA 100、SA 400 和 Virtual SA。 MiVoice 提供了一个简单的界面,将所有通信和工具结合在一起。
利用漏洞植入勒索软件
Crowdstrike 的研究人员最近调查了一起疑似勒索软件攻击。 研究人员团队迅速处理了入侵,但相信漏洞(CVE-2022-29499)参与了勒索软件攻击。
Crowdstrike 可识别与基于 Linux 的 Mitel VoIP 设备关联的 IP 地址相关的恶意活动的来源。 进一步的分析导致发现了一种新的远程代码漏洞。
“该设备已脱机并成像以进行进一步分析,从而发现了威胁行为者用来获得对环境的初始访问权限的新型远程代码执行漏洞,”Patrick Bennet 在一篇博文中写道.
该漏洞利用涉及两个 GET 请求。 第一个以 PHP 文件的“get_url”参数为目标,第二个来自设备本身。
“第一个请求是必要的,因为实际易受攻击的 URL 被限制接收来自外部 IP 地址的请求,”研究人员解释说。
第二个请求通过向攻击者控制的基础设施执行 HTTP GET 请求来执行命令注入,并在攻击者的服务器上运行存储的命令。
据研究人员称,攻击者利用该漏洞通过“mkfifo”命令和“openssl_client”创建启用 SSL 的反向 shell,以从受感染的网络发送出站请求。 “mkfifo”命令用于创建一个由file参数指定的特殊文件,可以被多个进程打开以进行读写。
建立反向 shell 后,攻击者创建了一个名为“pdf_import.php”的 Web shell。 Web shell 的原始内容没有恢复,但研究人员发现了一个日志文件,其中包含一个 POST 请求,该请求与攻击源自的 IP 地址相同。 攻击者还将一个名为“Chisel”的隧道工具下载到 VoIP 设备上,以便在不被发现的情况下进一步进入网络。
Crowdstrike 还识别了威胁参与者为隐藏活动而执行的反取证技术。
“尽管攻击者从 VoIP 设备的文件系统中删除了所有文件,但 CrowdStrike 能够从设备中恢复取证数据。 这包括用于破坏设备的最初未记录的漏洞利用、威胁参与者随后下载到设备的工具,甚至威胁参与者采取的特定反取证措施的证据,”Bennett 说。
Mitel 发布了一个 安全咨询 19 年 2022 月 19.2 日,适用于 MiVoice Connect 版本 3 SPXNUMX 及更早版本。 虽然尚未发布官方补丁。
Shodan 上易受攻击的 Mitel 设备
安全研究员 Kevin Beaumont 分享了一个字符串“http.html_hash:-1971546278”,以在 Shodan 搜索引擎上搜索易受攻击的 Mitel 设备。 Twitter线程.
据 Kevin 称,全球约有 21,000 台可公开访问的 Mitel 电器,其中大部分位于美国,其次是英国。
Mitel 缓解建议
Crowdstrike 建议组织通过执行威胁建模和识别恶意活动来加强防御机制。 研究人员还建议隔离关键资产和外围设备,以限制访问控制,以防外围设备受到损害。
“及时修补对于保护外围设备至关重要。 但是,当威胁参与者利用未记录的漏洞时,及时修补就变得无关紧要了,”Bennett 解释说。
