Ransomwaregroepen misbruiken ongepatchte versies van een op Linux gebaseerde Mitel VoIP-toepassing (Voice over Internet Protocol) en gebruiken deze als springplank voor het planten van malware op gerichte systemen. De kritieke fout voor de uitvoering van externe code (RCE), gevolgd als CVE-2022-29499, was eerst verslag door Crowdstrike in april als een zero-day kwetsbaarheid en is nu gepatcht.

Mitel staat in de volksmond bekend om het leveren van zakelijke telefoonsystemen en Unified Communication as a Service (UCaaS) aan alle vormen van organisaties. Mitel richt zich op VoIP-technologie waarmee gebruikers kunnen bellen via een internetverbinding in plaats van via gewone telefoonlijnen.

Volgens Crowdstrike treft de kwetsbaarheid de Mitel MiVoice-apparaten SA 100, SA 400 en Virtual SA. De MiVoice biedt een eenvoudige interface om alle communicatie en tools samen te brengen.

Bug misbruikt om ransomware te planten  

Onderzoeker bij Crowdstrike heeft onlangs een vermoedelijke ransomware-aanval onderzocht. Het team van onderzoekers handelde de inbraak snel af, maar vermoedt de betrokkenheid van de kwetsbaarheid (CVE-2022-29499) bij de ransomwareaanval.

De Crowdstrike identificeert de oorsprong van kwaadaardige activiteiten die zijn gekoppeld aan een IP-adres dat is gekoppeld aan een op Linux gebaseerd Mitel VoIP-apparaat. Verdere analyse leidde tot de ontdekking van een nieuwe exploit van externe code.

"Het apparaat werd offline gehaald en in beeld gebracht voor verdere analyse, wat leidde tot de ontdekking van een nieuwe exploit voor het uitvoeren van externe code die door de dreigingsactor werd gebruikt om de eerste toegang tot de omgeving te krijgen", zegt Patrick Bennet. schreef in een blogpost.

De exploit omvat twee GET-verzoeken. De eerste is gericht op een "get_url" -parameter van een PHP-bestand en de tweede is afkomstig van het apparaat zelf.

"Dit eerste verzoek was nodig omdat de eigenlijke kwetsbare URL geen verzoeken van externe IP-adressen kon ontvangen", legt de onderzoeker uit.

Het tweede verzoek voert de opdrachtinjectie uit door een HTTP GET-verzoek uit te voeren naar de door de aanvaller gecontroleerde infrastructuur en voert het opgeslagen commando uit op de server van de aanvaller.

Volgens de onderzoekers gebruikt de tegenstander de fout om een ​​SSL-enabled reverse shell te maken via de opdracht "mkfifo" en "openssl_client" om uitgaande verzoeken van het gecompromitteerde netwerk te verzenden. De opdracht "mkfifo" wordt gebruikt om een ​​speciaal bestand te maken dat wordt gespecificeerd door de bestandsparameter en kan door meerdere processen worden geopend voor lees- of schrijfdoeleinden.

Nadat de omgekeerde shell was gemaakt, maakte de aanvaller een webshell met de naam "pdf_import.php". De originele inhoud van de webshell is niet hersteld, maar de onderzoekers identificeren een logbestand met een POST-verzoek naar hetzelfde IP-adres als waar de exploit vandaan kwam. De tegenstander downloadde ook een tunneltool genaamd "Chisel" op VoIP-apparaten om verder in het netwerk te draaien zonder te worden gedetecteerd.

De Crowdstrike identificeert ook anti-forensische technieken die door de dreigingsactoren worden gebruikt om de activiteit te verbergen.

“Hoewel de dreigingsactor alle bestanden van het bestandssysteem van het VoIP-apparaat heeft verwijderd, kon CrowdStrike forensische gegevens van het apparaat herstellen. Dit omvatte de aanvankelijke ongedocumenteerde exploit die werd gebruikt om het apparaat te compromitteren, de tools die vervolgens door de dreigingsactor naar het apparaat werden gedownload en zelfs bewijs van specifieke anti-forensische maatregelen die door de dreigingsactor werden genomen”, aldus Bennett.

Mitel heeft een uitgebracht beveiligingsadvies op 19 april 2022 voor MiVoice Connect-versies 19.2 SP3 en eerder. Hoewel er nog geen officiële patch is uitgebracht.

Kwetsbare Mitel-apparaten op Shodan

Beveiligingsonderzoeker Kevin Beaumont deelde een string "http.html_hash:-1971546278" om te zoeken naar kwetsbare Mitel-apparaten op de Shodan-zoekmachine in een Twitter thread.

Volgens Kevin zijn er wereldwijd ongeveer 21,000 openbaar toegankelijke Mitel-apparaten, waarvan de meeste zich in de Verenigde Staten bevinden, opgevolgd door het Verenigd Koninkrijk.

Aanbevelingen voor mitelbeperking 

Crowdstrik raadt organisaties aan om hun verdedigingsmechanismen aan te scherpen door dreigingsmodellering uit te voeren en kwaadaardige activiteiten te identificeren. De onderzoeker adviseerde ook om de kritieke activa en perimeter-apparaten te scheiden om de toegangscontrole te beperken in het geval dat perimeter-apparaten worden gecompromitteerd.

“Tijdige patching is van cruciaal belang om perimeterapparaten te beschermen. Wanneer dreigingsactoren echter misbruik maken van een niet-gedocumenteerde kwetsbaarheid, wordt tijdige patching irrelevant”, legt Bennett uit.