攻击者利用Mitel VoIP漏洞进行勒索软件攻击

admin 2022年7月8日17:01:09评论41 views字数 1633阅读5分26秒阅读模式

攻击者利用Mitel VoIP漏洞进行勒索软件攻击

勒索软件集团正在滥用未打补丁的基于Linux的Mitel VoIP(网络电话)应用程序,并将其作为跳板在目标系统上植入恶意软件。这个关键的远程代码执行(RCE)漏洞被追踪为CVE-2022-29499,该漏洞是Crowdstrike在4月首次报告的零日漏洞,并且现在已经打了补丁。

Mitel由于向各种组织提供商业电话系统和统一通信服务(UCaaS)而广为人知。Mitel专注于VoIP技术,允许用户使用互联网连接而不是普通的电话线来拨打电话。

据Crowdstrike称,该漏洞影响了Mitel MiVoice设备SA 100、SA 400和虚拟SA。MiVoice提供了一个简单的界面,并将所有的通信和工具结合了起来。

攻击者利用Mitel VoIP漏洞进行勒索软件攻击
该漏洞被用来植入勒索软件 

Crowdstrike的研究人员最近调查了一次疑似勒索软件攻击。研究团队迅速处理了该入侵事件,并认为勒索软件攻击利用了该漏洞(CVE-2022-29499)。

Crowdstrike发现恶意活动的源头与一个基于Linux的Mitel VoIP设备的IP地址有关。进一步分析发现这是一个最新的远程代码执行漏洞。

Patrick Bennet在一篇博文中写道,该设备已经被下线并进行了特殊处理,以对其做进一步分析,从而发现了一个新型的远程代码执行漏洞,该漏洞可以被威胁者用来获得对环境的初始访问权限。

该漏洞的利用主要是使用了两个GET请求。第一个是针对一个PHP文件的 "get_url "参数,第二个是来自于设备本身。

研究员解释说,这第一个请求是必要的,因为含有漏洞的URL被限制接收来自外部IP地址的请求。

第二个请求通过对攻击者控制的基础设施进行HTTP GET请求来执行命令注入,并在攻击者的服务器上运行存储的命令。

据研究人员说,攻击者利用这个漏洞,通过 "mkfifo "命令和 "openssl_client "创建一个支持SSL的反向shell,并从被攻击的网络中向外发送请求。mkfifo 命令用于创建一个由文件参数指定的特殊文件,并可由多个进程打开并用于读写。

一旦反向shell建立了起来,攻击者就会创建一个名为 "pdf_import.php "的网络连接。网络连接的原始内容并没有被恢复,但研究人员发现了一个日志文件,其中包括一个向利用该漏洞来源的IP地址发送的POST请求。攻击者还在VoIP设备上下载了一个名为 "Chisel "的隧道工具,这样可以进一步深入到网络内部而不被发现。

Crowdstrike还发现了威胁者为掩盖攻击活动而实施的反取证技术。

Bennett说,尽管威胁者删除了VoIP设备文件系统中的所有文件,但CrowdStrike还是能够从该设备中恢复取证数据。这包括最初用于破坏设备的漏洞,威胁者随后下载到设备上的工具,甚至包括威胁者采取的特定反取证措施的证据。

Mitel于2022年4月19日发布了针对MiVoice Connect 19.2 SP3及以前版本的安全公告,并且目前还没有发布官方补丁。

攻击者利用Mitel VoIP漏洞进行勒索软件攻击
Shodan上搜索有漏洞的Mitel设备

安全研究员Kevin Beaumont在Twitter上分享了一个字符串 "http.html_hash:-1971546278",该字符串可以在Shodan搜索引擎上搜索有漏洞的Mitel设备。据Kevin称,全球大约有21,000台可公开访问的Mitel设备,其中大部分位于美国,继而是英国。

攻击者利用Mitel VoIP漏洞进行勒索软件攻击
Mitel公司的缓解建议

Crowdstrike建议企业通过使用威胁建模和识别恶意活动来加强防御机制。该研究人员还建议隔离关键资产和周边设备,限制访问控制,以防周边设备遭到破坏。

研究人员解释说,及时打补丁是保护周边设备的关键。然而,当攻击者利用那些未记录的漏洞时,及时打补丁就已经变得不重要了。

参考及来源:https://threatpost.com/mitel-voip-bug-exploited/180079/

攻击者利用Mitel VoIP漏洞进行勒索软件攻击

攻击者利用Mitel VoIP漏洞进行勒索软件攻击

原文始发于微信公众号(嘶吼专业版):攻击者利用Mitel VoIP漏洞进行勒索软件攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月8日17:01:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻击者利用Mitel VoIP漏洞进行勒索软件攻击http://cn-sec.com/archives/1166351.html

发表评论

匿名网友 填写信息