近日,网络安全公司CrowdStrike有一项新发现,一个针对未指定目标的勒索软件正利用通信巨头Mitel的设备作为入口点来实现远程代码执行并获得对环境的初始访问权限。经过溯源,CrowdStrike的研究人员追踪到本次攻击的源头是一台位于网络外围的基于linux的设备——Mitel VoIP。于此同时,研究人员还发现了一个之前未知的漏洞,以及黑客在该设备上采取的一些用于擦除自己行为痕迹的反取证措施。
这个零日漏洞的追踪编码为CVE-2022-29499,其CVSS评分为9.8(满分10分),危险等级非常高,Mitel于2022年4月通过与客户共享的修复脚本进行了修复。
CrowdStrike公司在其报告中这样写道,“我们在MiVoice Connect的Mitel Service Appliance组件(Mitel Service Appliance - SA 100、SA 400和Virtual SA)中发现了一个漏洞,该漏洞可能允许攻击者在该Service Appliance的环境中进行远程代码执行(CVE-2022-29499)。”
在报告中还写道,该漏洞包含两个HTTP GET请求(用于从服务器检索特定资源),它通过从攻击者控制的基础设施获取非法命令来触发远程代码执行。
攻击事件仍在进一步调查中,研究人员表示,攻击者利用该漏洞创建了一个反向shell,利用它在VoIP设备上启动一个web shell(“pdf_import.php”),并下载开源的Chisel代理工具。随后,这个二进制文件就会被执行,但只有在将其重命名为“memdump”之后才能躲避检测,并使用该实用程序作为“反向代理”,以允许攻击者通过VOIP设备进一步进入环境。之后,Mitel的加强检测成功遏制了它们的发展,并阻止它们在网络上横向移动。
大约两周前,德国渗透测试公司SySS披露了Mitel 6800/6900台式电话的两个漏洞(追踪编码分别为CVE-2022-29854和CVE-2022-29855),如果这两个漏洞被成功利用,攻击者可能就会获得设备上的root权限。
“及时更新补丁对保护外围设备至关重要。然而,当攻击者利用的是一个未被记录的漏洞时,更新补丁却变得无关紧要了”,CrowdStrike研究员Patrick Bennett接受采访时表示,“关键资产应尽可能与外围设备隔离。那么在理想的情况下,就算攻击者破坏了外围设备,也不能通过受感染设备进而访问关键资产。
另一名安全研究员Kevin Beaumont向媒体透露,目前网上有近21,500台可公开访问的Mitel 设备,其中大部分位于美国,其次是英国、加拿大、法国和澳大利亚。
参考来源:
https://thehackernews.com/2022/06/hackers-exploit-mitel-voip-zero-day-bug.html
精彩推荐