ランサムウェアグループは、パッチが適用されていないバージョンのLinuxベースのMitel VoIP（Voice over Internet Protocol）アプリケーションを悪用し、ターゲットシステム上の踏み台植物マルウェアとして使用しています。 重大なリモートコード実行（RCE）の欠陥、 CVE-2022-29499、最初でした クラウドストライクによるレポート ゼロデイ脆弱性としてXNUMX月に発生し、現在パッチが適用されています。

Mitelは、あらゆる形態の組織にビジネス電話システムとサービスとしてのユニファイドコミュニケーション（UCaaS）を提供することで広く知られています。 MitelはVoIPテクノロジーに重点を置いており、ユーザーは通常の電話回線の代わりにインターネット接続を使用して電話をかけることができます。

クラウドストライクによると、この脆弱性はMitelMiVoiceアプライアンスSA100、SA 400、およびVirtualSAに影響を及ぼします。 MiVoiceは、すべての通信とツールをまとめるためのシンプルなインターフェイスを提供します。

ランサムウェアを植え付けるために悪用されたバグ  

クラウドストライクの研究者は最近、ランサムウェア攻撃の疑いを調査しました。 研究チームは侵入を迅速に処理しましたが、ランサムウェアのストライキに脆弱性（CVE-2022-29499）が関与していると考えています。

クラウドストライクは、LinuxベースのMitelVoIPアプライアンスに関連付けられたIPアドレスにリンクされた悪意のあるアクティビティの発生源を特定します。 さらなる分析により、新しいリモートコードエクスプロイトが発見されました。

「デバイスはオフラインにされ、さらに分析するために画像化され、脅威アクターが環境への初期アクセスを取得するために使用する新しいリモートコード実行エクスプロイトの発見につながりました」とPatrick Bennet ブログ記事に書いた.

このエクスプロイトには、XNUMXつのGETリクエストが含まれます。 XNUMXつ目はPHPファイルの「get_url」パラメーターを対象とし、XNUMXつ目はデバイス自体から発信されます。

「実際の脆弱なURLは外部IPアドレスからのリクエストの受信を制限されていたため、この最初のリクエストが必要でした」と研究者は説明しました。

XNUMX番目のリクエストは、攻撃者が制御するインフラストラクチャに対してHTTP GETリクエストを実行することでコマンドインジェクションを実行し、攻撃者のサーバーに保存されているコマンドを実行します。

研究者によると、攻撃者はこの欠陥を利用して、「mkfifo」コマンドと「openssl_client」を介してSSL対応のリバースシェルを作成し、侵害されたネットワークからアウトバウンドリクエストを送信します。 「mkfifo」コマンドは、fileパラメーターで指定された特別なファイルを作成するために使用され、読み取りまたは書き込みの目的で複数のプロセスによって開くことができます。

リバースシェルが確立されると、攻撃者は「pdf_import.php」という名前のWebシェルを作成しました。 Webシェルの元のコンテンツは復元されませんでしたが、研究者は、エクスプロイトが発生したのと同じIPアドレスへのPOSTリクエストを含むログファイルを特定しました。 攻撃者はまた、「Chisel」と呼ばれるトンネリングツールをVoIPアプライアンスにダウンロードして、検出されることなくネットワークにさらにピボットしました。

クラウドストライクはまた、活動を隠すために脅威アクターによって実行されるアンチフォレンジック技術を識別します。

「攻撃者はVoIPデバイスのファイルシステムからすべてのファイルを削除しましたが、CrowdStrikeはデバイスからフォレンジックデータを回復することができました。 これには、デバイスを侵害するために使用された最初の文書化されていないエクスプロイト、その後脅威アクターによってデバイスにダウンロードされたツール、さらには脅威アクターによって実行された特定の反フォレンジック対策の証拠も含まれていました」とベネットは述べています。

Mitelは セキュリティ勧告 19年2022月19.2日、MiVoiceConnectバージョン3SPXNUMX以前の場合。 公式パッチはまだリリースされていませんが。

Shodanの脆弱なMitelデバイス

セキュリティ研究者のKevinBeaumontは、文字列「http.html_hash：-1971546278」を共有して、Shodan検索エンジンで脆弱なMitelデバイスを検索しました。 Twitterのスレッド.

Kevinによると、世界中に約21,000の公的にアクセス可能なMitelアプライアンスがあり、その大部分は米国にあり、英国に引き継がれています。

Mitelの緩和に関する推奨事項 

クラウドストライクは、脅威のモデリングを実行し、悪意のあるアクティビティを特定することで、組織が防御メカニズムを強化することを推奨しています。 研究者はまた、境界デバイスが危険にさらされた場合にアクセス制御を制限するために、重要な資産と境界デバイスを分離するようにアドバイスしました。

「境界デバイスを保護するには、タイムリーなパッチ適用が重要です。 ただし、脅威の攻撃者が文書化されていない脆弱性を悪用すると、タイムリーなパッチ適用は無関係になります」とベネットは説明しました。