{"id":220690,"date":"2022-06-24T12:43:15","date_gmt":"2022-06-24T14:43:15","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-mitel-voip-zero-day-dans-une-attaque-de-ransomware-probable\/"},"modified":"2022-06-24T12:43:16","modified_gmt":"2022-06-24T14:43:16","slug":"les-pirates-exploitent-mitel-voip-zero-day-dans-une-attaque-de-ransomware-probable","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-mitel-voip-zero-day-dans-une-attaque-de-ransomware-probable\/","title":{"rendered":"Les pirates exploitent Mitel VoIP Zero-Day dans une attaque de ransomware probable"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une intrusion pr\u00e9sum\u00e9e de ransomware contre une cible non identifi\u00e9e a utilis\u00e9 une appliance Mitel VoIP comme point d&#8217;entr\u00e9e pour ex\u00e9cuter du code \u00e0 distance et obtenir un acc\u00e8s initial \u00e0 l&#8217;environnement.<\/p>\n<p>La <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/novel-exploit-detected-in-mitel-voip-appliance\/\" target=\"_blank\">r\u00e9sultats<\/a> proviennent de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 CrowdStrike, qui a retrac\u00e9 la source de l&#8217;attaque \u00e0 un appareil Mitel VoIP bas\u00e9 sur Linux assis sur le p\u00e9rim\u00e8tre du r\u00e9seau, tout en identifiant \u00e9galement un exploit jusque-l\u00e0 inconnu ainsi que quelques mesures anti-l\u00e9gales adopt\u00e9es par l&#8217;acteur sur le appareil pour effacer les traces de leurs actions.<\/p>\n<p>L&#8217;exploit en question est suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-29499\" target=\"_blank\">CVE-2022-29499<\/a> et a \u00e9t\u00e9 corrig\u00e9 par Mitel en avril 2022. Il est not\u00e9 9,8 sur 10 pour la gravit\u00e9 sur le syst\u00e8me de notation des vuln\u00e9rabilit\u00e9s CVSS, ce qui en fait une lacune critique.<\/p>\n<p>&#8220;Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans le composant Mitel Service Appliance de MiVoice Connect (Mitel Service Appliances &#8211; SA 100, SA 400 et Virtual SA) qui pourrait permettre \u00e0 un acteur malveillant d&#8217;ex\u00e9cuter du code \u00e0 distance (CVE-2022-29499) dans le contexte du Service Appliance \u00bb, la soci\u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.mitel.com\/support\/security-advisories\/mitel-product-security-advisory-22-0002\" target=\"_blank\">c&#8217;est not\u00e9<\/a> dans un avis.<\/p>\n<p>L&#8217;exploit impliquait deux <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/Methods\/GET\" target=\"_blank\">Requ\u00eates HTTP GET<\/a> &#8211; qui sont utilis\u00e9s pour r\u00e9cup\u00e9rer une ressource sp\u00e9cifique \u00e0 partir d&#8217;un serveur &#8211; pour d\u00e9clencher l&#8217;ex\u00e9cution de code \u00e0 distance en r\u00e9cup\u00e9rant des commandes malveillantes \u00e0 partir de l&#8217;infrastructure contr\u00f4l\u00e9e par l&#8217;attaquant.<\/p>\n<p>Dans l&#8217;incident enqu\u00eat\u00e9 par CrowdStrike, l&#8217;attaquant aurait utilis\u00e9 l&#8217;exploit pour cr\u00e9er un shell invers\u00e9, l&#8217;utilisant pour lancer un shell Web (&#8220;pdf_import.php&#8221;) sur l&#8217;appliance VoIP et t\u00e9l\u00e9charger l&#8217;open source <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/jpillora\/chisel\" target=\"_blank\">Ciseau<\/a> outil proxy.<\/p>\n<p>Le binaire a ensuite \u00e9t\u00e9 ex\u00e9cut\u00e9, mais seulement apr\u00e8s l&#8217;avoir renomm\u00e9 en &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.kali.org\/tools\/memdump\/\" target=\"_blank\">memdump<\/a>&#8221; dans une tentative de voler sous le radar et d&#8217;utiliser l&#8217;utilitaire comme &#8221; proxy inverse pour permettre \u00e0 l&#8217;acteur de la menace de pivoter plus loin dans l&#8217;environnement via l&#8217;appareil VOIP. &#8221; Mais la d\u00e9tection ult\u00e9rieure de l&#8217;activit\u00e9 a stopp\u00e9 leur progression et les a emp\u00each\u00e9s de se d\u00e9placer lat\u00e9ralement \u00e0 travers le r\u00e9seau.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La divulgation arrive moins de deux semaines apr\u00e8s que la soci\u00e9t\u00e9 allemande de tests d&#8217;intrusion SySS a r\u00e9v\u00e9l\u00e9 deux failles dans les t\u00e9l\u00e9phones de bureau Mitel 6800\/6900 (CVE-2022-29854 et CVE-2022-29855) qui, si elles sont exploit\u00e9es avec succ\u00e8s, pourraient permettre \u00e0 un attaquant d&#8217;obtenir les privil\u00e8ges root. sur les appareils.<\/p>\n<p>&#8220;L&#8217;application de correctifs en temps opportun est essentielle pour prot\u00e9ger les appareils p\u00e9riph\u00e9riques. Cependant, lorsque des acteurs malveillants exploitent une vuln\u00e9rabilit\u00e9 non document\u00e9e, l&#8217;application de correctifs en temps opportun devient inutile&#8221;, a d\u00e9clar\u00e9 Patrick Bennett, chercheur chez CrowdStrike.<\/p>\n<p>&#8220;Les actifs critiques doivent \u00eatre isol\u00e9s des appareils p\u00e9riph\u00e9riques dans la mesure du possible. Id\u00e9alement, si un acteur mena\u00e7ant compromet un appareil p\u00e9riph\u00e9rique, il ne devrait pas \u00eatre possible d&#8217;acc\u00e9der aux actifs critiques via&#8221; un saut &#8220;\u00e0 partir de l&#8217;appareil compromis.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/hackers-exploit-mitel-voip-zero-day-bug.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une intrusion pr\u00e9sum\u00e9e de ransomware contre une cible non identifi\u00e9e a utilis\u00e9 une appliance Mitel VoIP comme point d&#8217;entr\u00e9e pour ex\u00e9cuter du code \u00e0 distance et obtenir un acc\u00e8s initial \u00e0 l&#8217;environnement. La r\u00e9sultats proviennent de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 CrowdStrike, qui a retrac\u00e9 la source de l&#8217;attaque \u00e0 un appareil Mitel VoIP bas\u00e9 sur [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":220691,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1933,4168,4158,4165,4161,429,8736,4157,4159,4171,4170,65,4167,4160,22358,4163,4162,4394,591,4392,4172,4169,196,4166,82189,4164,35759],"class_list":["post-220690","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaque","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-exploitent","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-mitel","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-probable","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-voip","tag-vulnerabilite-logicielle","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/220690","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=220690"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/220690\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/220691"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=220690"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=220690"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=220690"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}