Một cuộc xâm nhập nghi ngờ ransomware chống lại một mục tiêu không tên đã sử dụng thiết bị mitel VoIP như một điểm vào để thực hiện mã từ xa và có được quyền truy cập ban đầu vào môi trường.
Các phát hiện đến từ công ty an ninh mạng CrowdStrike, công ty đã truy tìm nguồn gốc của cuộc tấn công là một thiết bị Mitel VoIP dựa trên Linux đang nằm trên chu vi mạng, đồng thời xác định một cách khai thác chưa từng biết trước đó cũng như một số biện pháp chống pháp y đã được kẻ này áp dụng. trên thiết bị để xóa dấu vết hành động của họ.
Việc khai thác đang được đề cập được theo dõi là CVE-2022-29499 và được Mitel sửa vào tháng 4 năm 2022. Nó được xếp hạng 9,8 trên 10 về mức độ nghiêm trọng trên hệ thống chấm điểm lỗ hổng CVSS, khiến nó trở thành một thiếu sót nghiêm trọng.
“Một lỗ hổng đã được xác định trong thành phần Mitel Service Appliance của MiVoice Connect (Mitel Service Appliances – SA 100, SA 400 và Virtual SA) có thể cho phép kẻ độc hại thực hiện việc thực thi mã từ xa (CVE-2022-29499) trong bối cảnh của Công cụ Dịch vụ, “công ty lưu ý trong một lời khuyên.
Việc khai thác đòi hỏi hai yêu cầu HTTP GET – được sử dụng để truy xuất một tài nguyên cụ thể từ máy chủ – để kích hoạt thực thi mã từ xa bằng cách tìm nạp các lệnh giả mạo từ cơ sở hạ tầng do kẻ tấn công kiểm soát.
Trong sự cố được CrowdStrike điều tra, kẻ tấn công được cho là đã sử dụng cách khai thác để tạo một trình bao ngược, sử dụng nó để khởi chạy trình bao web (“pdf_import.php”) trên thiết bị VoIP và tải xuống công cụ proxy mã nguồn mở Chisel.
Sau đó, tệp nhị phân đã được thực thi, nhưng chỉ sau khi đổi tên nó thành “memdump” trong nỗ lực bay dưới radar và sử dụng tiện ích này như một “proxy ngược để cho phép tác nhân đe dọa quay vòng sâu hơn vào môi trường thông qua thiết bị VOIP.” Nhưng việc phát hiện hoạt động sau đó đã ngăn chặn tiến trình của chúng và ngăn chúng di chuyển theo chiều ngang qua mạng.
Tiết lộ được đưa ra chưa đầy hai tuần sau khi công ty thử nghiệm thâm nhập SySS của Đức tiết lộ hai lỗ hổng trong điện thoại bàn Mitel 6800/6900 (CVE-2022-29854 và CVE-2022-29855), nếu khai thác thành công, có thể cho phép kẻ tấn công có được đặc quyền root trên các thiết bị.
Nhà nghiên cứu Patrick Bennett của CrowdStrike cho biết: “Việc vá lỗi kịp thời là rất quan trọng để bảo vệ các thiết bị ngoại vi.
“Các tài sản quan trọng phải được cách ly khỏi các thiết bị ngoại vi trong phạm vi có thể. Tốt nhất, nếu một kẻ đe dọa xâm phạm thiết bị ngoại vi, thì sẽ không thể truy cập các tài sản quan trọng thông qua ‘một bước nhảy' từ thiết bị bị xâm phạm.”
.
