黑客在基于 Linux 的 Mitel MiVoice VOIP 设备上使用零日漏洞进行初始访问,这被认为是勒索软件攻击的开始。
Mitel VOIP 设备被各个部门的关键组织用于电话服务,并且最近 被 威胁参与者用于大容量 DDoS 放大 攻击。
在 CrowdStrike的一份新报告中,该公司表示,一个零日远程代码执行漏洞,现在被跟踪为 CVE-2022-29499 (CVSS v3 分数:9.8 - 严重),被用来获得对网络的初始访问权限。
Mitel 零日 RCE 漏洞
该漏洞位于 MiVoice Connect 的 Mitel Service Appliance 组件中,用于 SA 100、SA 400 和 Virtual SA,允许攻击者在服务设备的上下文中执行远程代码执行 (RCE)。
该问题是由诊断脚本的数据验证不足引起的,允许未经身份验证的远程攻击者使用特制请求注入命令。
该漏洞利用涉及两个 GET 请求,一个发送到设备以 PHP 文件的“get_url”参数为目标,第二个在设备本身上生成,导致向攻击者的基础设施执行 HTTP GET 请求的命令注入。
威胁参与者利用该漏洞通过利用目标 Mitel 设备上的 FIFO 管道创建反向外壳,从受感染的网络内发送出站请求。
建立反向 shell 后,入侵者创建了一个 web shell (pdf_import.php) 并下载了一个名为“Chisel”的反向代理工具,以减少在网络中横向移动时被检测到的机会。
Crowdstrike 还提到了威胁参与者的反取证工作,他们试图使用“dd”覆盖命令删除受感染设备中的所有文件。但是,分析人员可以从 /tmp 分区中检索证据并恢复 HTTP 访问日志。
虽然尚未发布官方补丁,但 Mitel 已于 2022 年 4 月 19 日通过发布 适用于 MiVoice Connect 19.2 SP3 及更早版本和 R14.x 及更早版本的修复脚本解决了这个问题。
根据安全研究员 Kevin Beaumont 的说法,网上有超过 21,000 台可公开访问的 Mitel 设备,其中大部分位于美国,其次是英国。
由于据信至少有一个勒索软件操作正在利用此漏洞,而且可能很快就会跟进,因此强烈建议管理员尽快应用缓解措施。
有关所提供解决方案的更多信息,Mitel 敦促合作伙伴和企业客户通过 此链接 访问公司的支持门户,而更多详细信息可在相关 安全公告中找到。
ZZQIDC已联系 CrowdStrike,询问他们为什么认为这是勒索软件攻击,并将根据他们的回复更新本文
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
