랜섬웨어 그룹은 패치되지 않은 Linux 기반 Mitel VoIP(Voice over Internet Protocol) 애플리케이션을 남용하고 이를 표적 시스템에서 발판 플랜트 멀웨어로 사용하고 있습니다. 다음과 같이 추적되는 중요한 원격 코드 실행(RCE) 결함 CVE-2022-29499, 처음이었다 Crowdstrike의 보고 XNUMX월에 제로데이 취약점으로 나타났으며 현재 패치가 적용되었습니다.

Mitel은 모든 형태의 조직에 비즈니스 전화 시스템 및 UCaaS(Unified Communication as a Service)를 제공하는 것으로 유명합니다. Mitel은 사용자가 일반 전화선 대신 인터넷 연결을 사용하여 전화를 걸 수 있도록 하는 VoIP 기술에 중점을 둡니다.

Crowdstrike에 따르면 취약점은 Mitel MiVoice 어플라이언스 SA 100, SA 400 및 Virtual SA에 영향을 미칩니다. MiVoice는 모든 통신 및 도구를 하나로 통합하는 간단한 인터페이스를 제공합니다.

식물 랜섬웨어에 버그 악용  

Crowdstrike의 연구원은 최근 의심되는 랜섬웨어 공격을 조사했습니다. 연구원 팀은 침입을 신속하게 처리했지만 랜섬웨어 공격에 취약점(CVE-2022-29499)이 연루된 것으로 생각합니다.

Crowdstrike는 Linux 기반 Mitel VoIP 어플라이언스와 연결된 IP 주소에 연결된 악성 활동의 출처를 식별합니다. 추가 분석을 통해 새로운 원격 코드 익스플로잇이 발견되었습니다.

패트릭 베넷(Patrick Bennet)은 "장치가 오프라인 상태가 되고 추가 분석을 위해 이미지가 찍혀 위협 행위자가 환경에 대한 초기 액세스 권한을 얻는 데 사용하는 새로운 원격 코드 실행 익스플로잇이 발견되었습니다."라고 말했습니다. 블로그 게시물에 썼다..

익스플로잇에는 두 개의 GET 요청이 포함됩니다. 첫 번째는 PHP 파일의 "get_url" 매개변수를 대상으로 하고 두 번째는 장치 자체에서 발생합니다.

연구원은 “실제 취약한 URL이 외부 IP 주소로부터 요청을 받는 것을 제한했기 때문에 이 첫 번째 요청이 필요했다”고 설명했다.

두 번째 요청은 공격자가 제어하는 ​​인프라에 HTTP GET 요청을 수행하여 명령 주입을 실행하고 공격자의 서버에서 저장된 명령을 실행합니다.

연구원에 따르면, 공격자는 결함을 사용하여 "mkfifo" 명령과 "openssl_client"를 통해 SSL 지원 역 셸을 생성하여 손상된 네트워크에서 아웃바운드 요청을 보냅니다. "mkfifo" 명령은 file 매개변수로 지정된 특수 파일을 생성하는 데 사용되며 읽기 또는 쓰기 목적으로 여러 프로세스에서 열 수 있습니다.

리버스 셸이 구축되면 공격자는 "pdf_import.php"라는 웹 셸을 생성했습니다. 웹 셸의 원본 콘텐츠는 복구되지 않았지만 연구원들은 익스플로잇이 시작된 동일한 IP 주소에 대한 POST 요청이 포함된 로그 파일을 식별합니다. 또한 공격자는 "치즐"이라는 터널링 도구를 VoIP 어플라이언스에 다운로드하여 탐지되지 않고 네트워크에 더 깊이 침투했습니다.

Crowdstrike는 또한 활동을 은폐하기 위해 위협 행위자가 수행하는 안티 포렌식 기술을 식별합니다.

“위협 행위자가 VoIP 장치의 파일 시스템에서 모든 파일을 삭제했지만 CrowdStrike는 장치에서 포렌식 데이터를 복구할 수 있었습니다. 여기에는 장치를 손상시키는 데 사용된 초기 문서화되지 않은 익스플로잇, 이후에 위협 행위자가 장치에 다운로드한 도구, 심지어 위협 행위자가 취한 특정 안티 포렌식 조치의 증거가 포함됩니다.”라고 Bennett이 말했습니다.

마이텔이 출시한 보안 권고 19년 2022월 19.2일 MiVoice Connect 버전 3 SPXNUMX 이하의 경우. 아직 공식 패치는 나오지 않았지만.

Shodan의 취약한 Mitel 장치

보안 연구원 Kevin Beaumont는 "http.html_hash:-1971546278" 문자열을 공유하여 Shodan 검색 엔진에서 취약한 Mitel 장치를 검색합니다. 트위터 스레드.

Kevin에 따르면 전 세계적으로 공개적으로 액세스할 수 있는 약 21,000개의 Mitel 기기가 있으며 그 중 대다수는 미국에 있으며 영국이 계승했습니다.

Mitel 완화 권장 사항 

Crowdstrike는 조직에서 위협 모델링을 수행하고 악의적인 활동을 식별하여 방어 메커니즘을 강화할 것을 권장합니다. 연구원은 또한 주변 장치가 손상된 경우 액세스 제어를 제한하기 위해 중요한 자산과 주변 장치를 분리할 것을 권고했습니다.

“적시 패치는 주변 장치를 보호하는 데 중요합니다. 그러나 위협 행위자가 문서화되지 않은 취약점을 악용하면 시기 적절한 패치가 무의미해집니다.”라고 Bennett가 설명했습니다.