Zephyrnet Logosu

Fidye Yazılım Saldırılarında Mitel VoIP Hatasından Yararlandı

Tarih:

Araştırmacılar, tehdit aktörlerinin kurbanların ortamlarına ilk erişim sağlamak için yeni bir uzaktan kod yürütme açığı kullandıkları konusunda uyarıyor.

Fidye yazılımı grupları, Linux tabanlı Mitel VoIP (İnternet Protokolü Üzerinden Ses) uygulamasının yamalanmamış sürümlerini kötüye kullanıyor ve bunu hedeflenen sistemlerde bir sıçrama tahtası bitki kötü amaçlı yazılımı olarak kullanıyor. Şu şekilde izlenen kritik uzaktan kod yürütme (RCE) hatası CVE-2022-29499, önceydi Crowdstrike tarafından rapor Nisan ayında sıfır gün güvenlik açığı olarak ve şimdi yamalı.

Mitel, yaygın olarak her tür kuruluşa iş telefonu sistemleri ve hizmet olarak birleşik iletişim (UCaaS) sağlamasıyla tanınır. Mitel, kullanıcıların normal telefon hatları yerine internet bağlantısı kullanarak telefon görüşmeleri yapmalarına olanak tanıyan VoIP teknolojisine odaklanmaktadır.

Crowdstrike'a göre, güvenlik açığı Mitel MiVoice cihazları SA 100, SA 400 ve Virtual SA'yı etkiliyor. MiVoice, tüm iletişim ve araçları bir araya getirmek için basit bir arayüz sağlar.

Fidye Yazılımı Yerleştirmek için Yararlanan Hata  

Crowdstrike'taki araştırmacı yakın zamanda şüpheli bir fidye yazılımı saldırısını araştırdı. Araştırma ekibi izinsiz girişi hızlı bir şekilde ele aldı, ancak güvenlik açığının (CVE-2022-29499) fidye yazılımı saldırısına dahil olduğuna inanıyor.

Crowdstrike, Linux tabanlı bir Mitel VoIP cihazıyla ilişkili bir IP adresine bağlı kötü amaçlı etkinliğin kaynağını tanımlar. Daha fazla analiz, yeni bir uzaktan kod istismarının keşfedilmesine yol açtı.

Patrick Bennet, "Cihaz çevrimdışı duruma getirildi ve daha fazla analiz için görüntülendi, bu da tehdit aktörü tarafından çevreye ilk erişim sağlamak için kullanılan yeni bir uzaktan kod yürütme açığının keşfedilmesine yol açtı." bir blogda yazdı.

İstismar, iki GET isteği içerir. Birincisi, bir PHP dosyasının “get_url” parametresini hedefler ve ikincisi, cihazın kendisinden kaynaklanır.

Araştırmacı, "Bu ilk istek gerekliydi, çünkü gerçek güvenlik açığı bulunan URL'nin harici IP adreslerinden istek alması kısıtlandı" dedi.

İkinci istek, saldırgan tarafından kontrol edilen altyapıya bir HTTP GET isteği gerçekleştirerek komut enjeksiyonunu yürütür ve saldırganın sunucusunda depolanan komutu çalıştırır.

Araştırmacılara göre, saldırgan, "mkfifo" komutu ve "openssl_client" aracılığıyla güvenliği ihlal edilmiş ağdan giden istekleri göndermek için SSL etkin bir ters kabuk oluşturmak için kusuru kullanıyor. “mkfifo” komutu file parametresi ile belirtilen özel bir dosya oluşturmak için kullanılır ve birden çok işlem tarafından okuma veya yazma amacıyla açılabilir.

Ters kabuk oluşturulduktan sonra, saldırgan “pdf_import.php” adlı bir web kabuğu oluşturdu. Web kabuğunun orijinal içeriği kurtarılamadı, ancak araştırmacılar, istismarın kaynaklandığı aynı IP adresine bir POST isteği içeren bir günlük dosyası belirledi. Saldırgan ayrıca, tespit edilmeden ağa daha fazla dönmek için VoIP cihazlarına “Cisel” adlı bir tünel açma aracı indirdi.

Crowdstrike ayrıca, tehdit aktörleri tarafından faaliyeti gizlemek için gerçekleştirilen adli tıp karşıtı teknikleri de tanımlar.

“Tehdit aktörü VoIP cihazının dosya sisteminden tüm dosyaları silmiş olsa da, CrowdStrike cihazdan adli verileri kurtarmayı başardı. Bu, cihazın güvenliğini aşmak için kullanılan ilk belgelenmemiş istismarı, daha sonra tehdit aktörü tarafından cihaza indirilen araçları ve hatta tehdit aktörü tarafından alınan belirli adli tıp önlemlerinin kanıtlarını içeriyor” dedi.

Mitel yayınladı güvenlik danışma 19 Nisan 2022'de MiVoice Connect 19.2 SP3 ve önceki sürümleri için. Henüz resmi bir yama yayınlanmadı.

Shodan'daki Hassas Mitel Cihazları

Güvenlik araştırmacısı Kevin Beaumont, Shodan arama motorunda savunmasız Mitel cihazlarını aramak için bir "http.html_hash:-1971546278" dizesi paylaştı. Twitter konusu.

Kevin'e göre, dünya çapında, çoğunluğu Amerika Birleşik Devletleri'nde bulunan ve yerini Birleşik Krallık'ın aldığı yaklaşık 21,000 kamuya açık Mitel cihazı var.

Mitel Azaltma Önerileri 

Crowdstrike, kuruluşların tehdit modellemesi gerçekleştirerek ve kötü niyetli faaliyetleri belirleyerek savunma mekanizmalarını sıkılaştırmasını önerir. Araştırmacı ayrıca, çevre aygıtlarının tehlikeye girmesi durumunda erişim kontrolünü kısıtlamak için kritik varlıkların ve çevre aygıtlarının ayrılmasını tavsiye etti.

“Çevre cihazlarını korumak için zamanında yama çok önemlidir. Ancak, tehdit aktörleri belgelenmemiş bir güvenlik açığından yararlandığında, zamanında yama yapılması önemsiz hale gelir," diye açıkladı Bennett.

spot_img

En Son İstihbarat

spot_img