Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Piratas aprovechan Mitel VoIP Zero-Day en un posible ataque de ransomware

Piratas aprovechan Mitel VoIP Zero-Day en un posible ataque de ransomware

por Dragora

Un presunto intento de intrusión de ransomware contra un objetivo sin nombre aprovechó un dispositivo Mitel VoIP como punto de entrada para lograr la ejecución remota de código y obtener acceso inicial al entorno.

Los hallazgos provienen de la firma de seguridad cibernética CrowdStrike, que rastreó el origen del ataque hasta un dispositivo Mitel VoIP basado en Linux ubicado en el perímetro de la red, al mismo tiempo que identificó un exploit previamente desconocido, así como un par de medidas anti-forense adoptadas por el actor. en el dispositivo para borrar los rastros de sus acciones.

El exploit de día cero en cuestión se rastrea como CVE-2022-29499 y Mitel lo solucionó en abril de 2022 mediante un script de remediación que compartió con los clientes. Tiene una calificación de 9,8 sobre 10 en cuanto a gravedad en el sistema de calificación de vulnerabilidades CVSS, lo que la convierte en una deficiencia crítica.

Mitel VoIP de día cero

 

«Se identificó una vulnerabilidad en el componente Mitel Service Appliance de MiVoice Connect (Mitel Service Appliances – SA 100, SA 400 y Virtual SA) que podría permitir a un actor malicioso ejecutar código remoto (CVE-2022-29499) dentro del contexto del dispositivo de servicio», señaló la compañía en un aviso.

El exploit implicaba dos solicitudes HTTP GET , que se utilizan para recuperar un recurso específico de un servidor, para desencadenar la ejecución remota de código al obtener comandos no autorizados de la infraestructura controlada por el atacante.

En el incidente investigado por CrowdStrike, se dice que el atacante usó el exploit para crear un shell inverso, utilizándolo para iniciar un shell web («pdf_import.php») en el dispositivo VoIP y descargar la herramienta proxy Chisel de código abierto.

Luego, se ejecutó el binario, pero solo después de cambiarle el nombre a » memdump » en un intento de pasar desapercibido y usar la utilidad como un «proxy inverso para permitir que el actor de amenazas se introdujera más en el entorno a través del dispositivo VOIP». Pero la detección posterior de la actividad detuvo su progreso y les impidió moverse lateralmente a través de la red.

La divulgación llega menos de dos semanas después de que la firma alemana de pruebas de penetración SySS revelara dos fallas en los teléfonos de escritorio Mitel 6800/6900 (CVE-2022-29854 y CVE-2022-29855) que, si se explotaron con éxito, podrían haber permitido que un atacante obtuviera la raíz. privilegios en los dispositivos.

«La aplicación oportuna de parches es fundamental para proteger los dispositivos perimetrales. Sin embargo, cuando los actores de amenazas explotan una vulnerabilidad no documentada, la aplicación oportuna de parches se vuelve irrelevante», dijo Patrick Bennett, investigador de CrowdStrike.

«Los activos críticos deben aislarse de los dispositivos perimetrales en la medida de lo posible. Idealmente, si un actor de amenazas compromete un dispositivo perimetral, no debería ser posible acceder a los activos críticos a través de ‘un salto’ desde el dispositivo comprometido».

Actualización: según el investigador de seguridad Kevin Beaumont , hay cerca de 21 500 dispositivos Mitel de acceso público en línea, la mayoría ubicados en los EE. UU., seguidos por el Reino Unido, Canadá, Francia y Australia.

Fuente: https://thehackernews.com

You may also like

Dejar Comentario

Click to listen highlighted text!