Adsız bir hedefe yönelik şüpheli bir fidye yazılımı saldırısı, uzaktan kod yürütmeyi gerçekleştirmek ve ortama ilk erişim sağlamak için bir Mitel VoIP cihazından bir giriş noktası olarak yararlandı.
bu bulgular Saldırının kaynağını ağ çevresinde oturan Linux tabanlı bir Mitel VoIP cihazına kadar izleyen ve aynı zamanda daha önce bilinmeyen bir istismarın yanı sıra aktör tarafından alınan birkaç adli tıp önlemini belirleyen siber güvenlik firması CrowdStrike’dan geliyor. eylemlerinin izlerini silmek için cihaz.
Söz konusu istismar şu şekilde izlenir: CVE-2022-29499 ve Mitel tarafından Nisan 2022’de düzeltildi. CVSS güvenlik açığı puanlama sisteminde önem derecesine göre 10 üzerinden 9,8 olarak derecelendirildi, bu da onu kritik bir eksiklik haline getiriyor.
“MiVoice Connect’in Mitel Service Appliance bileşeninde (Mitel Service Appliances – SA 100, SA 400 ve Virtual SA) kötü niyetli bir aktörün uzaktan kod yürütmesine (CVE-2022-29499) izin verebilecek bir güvenlik açığı belirlendi. Service Appliance bağlamında,” şirket kayıt edilmiş bir danışma belgesinde.
İstismar iki HTTP GET istekleri – bir sunucudan belirli bir kaynağı almak için kullanılır – saldırgan tarafından kontrol edilen altyapıdan hileli komutlar getirerek uzaktan kod yürütmeyi tetiklemek için.
CrowdStrike tarafından araştırılan olayda, saldırganın, VoIP cihazında bir web kabuğu (“pdf_import.php”) başlatmak ve açık kaynağı indirmek için bir ters kabuk oluşturmak için istismarı kullandığı söyleniyor. keski proxy aracı.
İkili daha sonra yürütüldü, ancak yalnızca yeniden adlandırıldıktan sonra “bellek dökümüRadarın altında uçmak ve yardımcı programı “tehdit aktörünün VOIP cihazı aracılığıyla çevreye daha fazla dönmesine izin vermek için ters proxy” olarak kullanmak amacıyla. ağ boyunca.
Açıklama, Alman sızma testi firması SySS’nin Mitel 6800/6900 masa telefonlarında (CVE-2022-29854 ve CVE-2022-29855) başarılı bir şekilde kullanılırsa bir saldırganın kök ayrıcalıkları kazanmasına izin verebilecek iki kusuru ortaya çıkarmasından iki haftadan kısa bir süre sonra geldi. cihazlarda.
CrowdStrike araştırmacısı Patrick Bennett, “Çevre cihazlarını korumak için zamanında yama yapmak çok önemlidir. Ancak, tehdit aktörleri belgelenmemiş bir güvenlik açığından yararlandığında, zamanında yama yapmak önemsiz hale gelir” dedi.
“Kritik varlıklar, mümkün olduğu ölçüde çevre cihazlarından izole edilmelidir. İdeal olarak, bir tehdit aktörü bir çevre cihazını tehlikeye atarsa, kritik varlıklara güvenliği ihlal edilen cihazdan ‘tek atlama’ ile erişmek mümkün olmamalıdır.”