Una supuesta intrusión de ransomware contra un objetivo sin nombre aprovechó un dispositivo Mitel VoIP como punto de entrada para lograr la ejecución remota de código y obtener acceso inicial al entorno.
los recomendaciones provienen de la firma de seguridad cibernética CrowdStrike, que rastreó la fuente del ataque a un dispositivo Mitel VoIP basado en Linux ubicado en el perímetro de la red, al mismo tiempo que identificó un exploit previamente desconocido, así como un par de medidas anti-forense adoptadas por el actor en el dispositivo para borrar los rastros de sus acciones.
El exploit en cuestión se rastrea como CVE-2022-29499 y Mitel lo arregló en abril de 2022. Tiene una calificación de 9,8 sobre 10 en cuanto a gravedad en el sistema de calificación de vulnerabilidad CVSS, lo que la convierte en una deficiencia crítica.
«Se identificó una vulnerabilidad en el componente Mitel Service Appliance de MiVoice Connect (Mitel Service Appliances – SA 100, SA 400 y Virtual SA) que podría permitir a un actor malicioso ejecutar código remoto (CVE-2022-29499) dentro del contexto del dispositivo de servicio», la empresa señalado en un aviso.
La hazaña implicó dos Solicitudes HTTP GET – que se utilizan para recuperar un recurso específico de un servidor – para desencadenar la ejecución remota de código al obtener comandos no autorizados de la infraestructura controlada por el atacante.
En el incidente investigado por CrowdStrike, se dice que el atacante usó el exploit para crear un shell inverso, utilizándolo para iniciar un shell web («pdf_import.php») en el dispositivo VoIP y descargar el código abierto. Cincel herramienta proxy.
Luego se ejecutó el binario, pero solo después de cambiarle el nombre a «volcado de memoria» en un intento de pasar desapercibido y usar la utilidad como un «proxy inverso para permitir que el actor de amenazas se introdujera más en el entorno a través del dispositivo VOIP». Pero la detección posterior de la actividad detuvo su progreso y les impidió moverse lateralmente. a través de la red.
La divulgación llega menos de dos semanas después de que la firma alemana de pruebas de penetración SySS revelara dos fallas en los teléfonos de escritorio Mitel 6800/6900 (CVE-2022-29854 y CVE-2022-29855) que, si se explotan con éxito, podrían permitir que un atacante obtenga privilegios de root. en los dispositivos.
«La aplicación oportuna de parches es fundamental para proteger los dispositivos perimetrales. Sin embargo, cuando los actores de amenazas explotan una vulnerabilidad no documentada, la aplicación oportuna de parches se vuelve irrelevante», dijo Patrick Bennett, investigador de CrowdStrike.
«Los activos críticos deben aislarse de los dispositivos perimetrales en la medida de lo posible. Idealmente, si un actor de amenazas compromete un dispositivo perimetral, no debería ser posible acceder a los activos críticos a través de ‘un salto’ desde el dispositivo comprometido».