Mitel zero-day utilizado por piratas informáticos en un presunto ataque de ransomware

Los piratas informáticos utilizaron un exploit de día cero en los dispositivos Mitel MiVoice VOIP basados ​​en Linux para el acceso inicial en lo que se cree que es el comienzo de un ataque de ransomware.

Los dispositivos VOIP de Mitel son utilizados por organizaciones críticas en varios sectores para servicios de telefonía y recientemente fueron  explotados  por actores de amenazas para  ataques de amplificación DDoS de gran volumen  .

En un nuevo informe de  CrowdStrike , la compañía dice que se utilizó una falla de ejecución remota de código de día cero, ahora rastreada como  CVE-2022-29499  (puntaje CVSS v3: 9.8 – crítico), para obtener acceso inicial a la red.

Aunque el ataque se detuvo, CrowdStrike cree que el día cero se utilizó como parte de un ataque de ransomware.

Una vulnerabilidad RCE de día cero de Mitel

La vulnerabilidad radica en el componente Mitel Service Appliance de MiVoice Connect, utilizado en SA 100, SA 400 y Virtual SA, que permite a un atacante realizar una ejecución remota de código (RCE) en el contexto de Service Appliance.

El problema se debe a una validación de datos insuficiente para un script de diagnóstico, lo que permite a atacantes remotos no autenticados inyectar comandos mediante solicitudes especialmente diseñadas.

El exploit implica dos solicitudes GET, una enviada al dispositivo con un parámetro "get_url" de un archivo PHP y la segunda generada en el propio dispositivo, lo que provoca una inyección de comando que realiza solicitudes HTTP GET a la infraestructura del atacante.

Los actores de la amenaza utilizaron la vulnerabilidad para crear un shell inverso al aprovechar las tuberías FIFO en el dispositivo Mitel objetivo, enviando solicitudes salientes desde dentro de la red comprometida.

Con el shell inverso establecido, el intruso creó un shell web (pdf_import.php) y descargó una herramienta de proxy inverso llamada "Chisel", para reducir las posibilidades de detección mientras se mueve lateralmente en la red.

Crowdstrike también menciona los esfuerzos antiforenses del actor de amenazas, que intentó eliminar todos los archivos en los dispositivos comprometidos usando el comando de sobrescritura "dd". Sin embargo, los analistas pudieron recuperar evidencia de la partición /tmp y recuperar registros de acceso HTTP.

FWBwFHSX0AE36YX

Si bien no se ha lanzado ningún parche oficial, Mitel lo abordó el 19 de abril de 2022 al lanzar un  script de remediación  para las versiones 19.2 SP3 y anteriores de MiVoice Connect y R14.x y anteriores.

Según el investigador de seguridad Kevin Beaumont, hay más de 21 000 dispositivos Mitel de acceso público en línea, la mayoría ubicados en los Estados Unidos, seguidos por el Reino Unido.

Como se cree que al menos una operación de ransomware está explotando esta vulnerabilidad, y es probable que haya más pronto, se recomienda encarecidamente que los administradores apliquen las mitigaciones lo antes posible.

FWBwZOIX0AE2kg5

Para obtener más información sobre la solución proporcionada, Mitel insta a los socios y clientes empresariales a seguir  este enlace  al portal de soporte de la empresa, mientras que los detalles adicionales se pueden encontrar en el  boletín de seguridad correspondiente .

BleepingComputer se ha puesto en contacto con CrowdStrike preguntando por qué cree que fue un ataque de ransomware y actualizará este artículo con su respuesta.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies