Ransomware-grupper missbrukar oparpade versioner av en Linux-baserad Mitel VoIP-applikation (Voice over Internet Protocol) och använder den som en språngbräda för skadlig programvara på riktade system. Det kritiska RCE-felet (Remote Code Execution), spåras som CVE-2022-29499, var först rapport av Crowdstrike i april som en nolldagarssårbarhet och är nu åtgärdad.

Mitel är populärt känt för att tillhandahålla företagstelefonsystem och enhetlig kommunikation som en tjänst (UCaaS) till alla former av organisationer. Mitel fokuserar på VoIP-teknik som gör det möjligt för användare att ringa telefonsamtal med en internetanslutning istället för vanliga telefonlinjer.

Enligt Crowdstrike påverkar sårbarheten Mitel MiVoice-apparaterna SA 100, SA 400 och Virtual SA. MiVoice tillhandahåller ett enkelt gränssnitt för att sammanföra all kommunikation och verktyg.

Bugg utnyttjas för att plantera Ransomware  

Forskare vid Crowdstrike undersökte nyligen en misstänkt ransomware-attack. Teamet av forskare hanterade intrånget snabbt, men tror att sårbarheten (CVE-2022-29499) var inblandad i ransomware-strejken.

Crowdstrike identifierar ursprunget till skadlig aktivitet kopplad till en IP-adress associerad med en Linux-baserad Mitel VoIP-enhet. Ytterligare analys ledde till upptäckten av en ny fjärrkodsexploatering.

"Enheten togs offline och avbildades för ytterligare analys, vilket ledde till upptäckten av en ny exekvering av fjärrkod som användes av hotaktören för att få första åtkomst till miljön," Patrick Bennet skrev i ett blogginlägg.

Exploateringen involverar två GET-förfrågningar. Den första riktar sig till en "get_url"-parameter för en PHP-fil och den andra kommer från själva enheten.

"Denna första begäran var nödvändig eftersom den faktiska sårbara webbadressen var begränsad från att ta emot förfrågningar från externa IP-adresser," förklarade forskaren.

Den andra begäran exekverar kommandoinjektionen genom att utföra en HTTP GET-begäran till den angriparkontrollerade infrastrukturen och kör det lagrade kommandot på angriparens server.

Enligt forskarna använder motståndaren felet för att skapa ett SSL-aktiverat omvänt skal via kommandot "mkfifo" och "openssl_client" för att skicka utgående förfrågningar från det komprometterade nätverket. Kommandot "mkfifo" används för att skapa en speciell fil som specificeras av filparametern och kan öppnas av flera processer för läs- eller skrivändamål.

När det omvända skalet etablerats skapade angriparen ett webbskal med namnet "pdf_import.php". Det ursprungliga innehållet i webbskalet återställdes inte men forskarna identifierar en loggfil som innehåller en POST-begäran till samma IP-adress som exploateringen kom från. Motståndaren laddade också ner ett tunnlingsverktyg som heter "Chisel" till VoIP-apparater för att svänga längre in i nätverket utan att bli upptäckt.

Crowdstrike identifierar också anti-kriminaltekniska tekniker som utförs av hotaktörerna för att dölja aktiviteten.

"Även om hotaktören raderade alla filer från VoIP-enhetens filsystem kunde CrowdStrike återställa kriminaltekniska data från enheten. Detta inkluderade den första odokumenterade exploateringen som användes för att äventyra enheten, verktygen som sedan laddades ner av hotaktören till enheten och till och med bevis på specifika anti-kriminaltekniska åtgärder som hotaktören vidtagit, säger Bennett.

Mitel släppte en säkerhetsrådgivande den 19 april 2022 för MiVoice Connect version 19.2 SP3 och tidigare. Även om ingen officiell patch har släppts ännu.

Sårbara Mitel-enheter på Shodan

Säkerhetsforskaren Kevin Beaumont delade en sträng "http.html_hash:-1971546278" för att söka efter sårbara Mitel-enheter på Shodan-sökmotorn i en Twitter-tråden.

Enligt Kevin finns det cirka 21,000 XNUMX allmänt tillgängliga Mitel-apparater över hela världen, varav majoriteten finns i USA, efterträdda av Storbritannien.

Mitels begränsningsrekommendationer 

Crowdstrike rekommenderar att organisationer skärper försvarsmekanismerna genom att utföra hotmodellering och identifiera skadlig aktivitet. Forskaren rekommenderade också att separera de kritiska tillgångarna och perimeterenheterna för att begränsa åtkomstkontrollen i fall perimeterenheterna äventyras.

“Lättning i rätt tid är avgörande för att skydda perimeterenheter. Men när hotaktörer utnyttjar en odokumenterad sårbarhet blir snabb patchning irrelevant”, förklarade Bennett.