✔0-day уязвимость в VoIP-оборудовании Mitel используется шифровальщиками - «Новости»

27 июня 2022 765 Изображения / Новости / Преимущества стилей / Самоучитель CSS / Интернет и связь 0

Проблему обнаружили специалисты из компании CrowdStrike. Уязвимости был присвоен идентификатор CVE-2022-29499 (9,8 балла из 10 по шкале CVSS), и разработчики Mitel исправили ее в апреле 2022 года.

Уязвимость была связана с компонентом Mitel Service Appliance MiVoice Connect, используемом в SA 100, SA 400 и Virtual SA. Проблема позволяла удаленно выполнить произвольный код в контексте Service Appliance. Сам баг заключался в некорректной валидации данных для диагностического скрипта, что позволяло удаленным и неаутентифицированным атакующим осуществлять инъекции команд с помощью специально подготовленных запросов.

Так, эксплоит включал в себя два GET-запроса, один из которых отправлялся на устройство и нацеливался на параметр «get_url» в PHP-файле, а второй генерировался на самом устройстве, приводя к инъекции команды, которая выполняет GET-запросы к инфраструктуре злоумышленника.

Известно, что хакеры использовали уязвимость для создания реверс-шеллов, задействовав FIFO-каналы на целевом устройстве Mitel и отправляя исходящие запросы из скомпрометированной сети. После этого атакующие создавали веб-шелл pdf_import.php и загружали опенсорсный реверс-прокси Chisel, чтобы уменьшить вероятность обнаружения атаки при последующем боковом перемещении по сети жертвы.

К сожалению, исследователи не сообщают, операторы какого именно шифровальщика использовали эту уязвимость в своих атаках. Но стоит заметить, что независимый ИБ-эксперт Кевин Бомонт отмечает, что в интернете можно найти более 21 000 устройств Mitel, большинство из которых расположены в США и Великобритании.

Исследователи предупреждают, что злоумышленники используют эксплоит для уязвимости нулевого дня в устройствах Mitel MiVoice VoIP для проникновения в сети компаний и получения начального доступа. Судя по всему, с эксплуатации этого бага начинаются вымогательские атаки. Проблему обнаружили специалисты из компании CrowdStrike. Уязвимости был присвоен идентификатор CVE-2022-29499 (9,8 балла из 10 по шкале CVSS), и разработчики Mitel исправили ее в апреле 2022 года. Уязвимость была связана с компонентом Mitel Service Appliance MiVoice Connect, используемом в SA 100, SA 400 и Virtual SA. Проблема позволяла удаленно выполнить произвольный код в контексте Service Appliance. Сам баг заключался в некорректной валидации данных для диагностического скрипта, что позволяло удаленным и неаутентифицированным атакующим осуществлять инъекции команд с помощью специально подготовленных запросов. Так, эксплоит включал в себя два GET-запроса, один из которых отправлялся на устройство и нацеливался на параметр «get_url» в PHP-файле, а второй генерировался на самом устройстве, приводя к инъекции команды, которая выполняет GET-запросы к инфраструктуре злоумышленника. Известно, что хакеры использовали уязвимость для создания реверс-шеллов, задействовав FIFO-каналы на целевом устройстве Mitel и отправляя исходящие запросы из скомпрометированной сети. После этого атакующие создавали веб-шелл pdf_import.php и загружали опенсорсный реверс-прокси Chisel, чтобы уменьшить вероятность обнаружения атаки при последующем боковом перемещении по сети жертвы. К сожалению, исследователи не сообщают, операторы какого именно шифровальщика использовали эту уязвимость в своих атаках. Но стоит заметить, что независимый ИБ-эксперт Кевин Бомонт отмечает, что в интернете можно найти более 21 000 устройств Mitel, большинство из которых расположены в США и Великобритании.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.