Dugaan intrusi ransomware terhadap target yang tidak disebutkan namanya memanfaatkan alat VoIP Mitel sebagai titik masuk untuk mencapai eksekusi kode jarak jauh dan mendapatkan akses awal ke lingkungan.
Temuan ini berasal dari perusahaan keamanan siber CrowdStrike, yang melacak sumber serangan ke perangkat VoIP Mitel berbasis Linux yang berada di perimeter jaringan, sementara juga mengidentifikasi eksploitasi yang sebelumnya tidak diketahui serta beberapa tindakan anti-forensik yang diadopsi oleh aktor tersebut. pada perangkat untuk menghapus jejak tindakan mereka.
Eksploitasi yang dimaksud dilacak sebagai CVE-2022-29499 dan diperbaiki oleh Mitel pada April 2022. Ini dinilai 9,8 dari 10 untuk tingkat keparahan pada sistem penilaian kerentanan CVSS, menjadikannya kelemahan kritis.
“Sebuah kerentanan telah diidentifikasi dalam komponen Mitel Service Appliance dari MiVoice Connect (Mitel Service Appliances – SA 100, SA 400, dan Virtual SA) yang dapat memungkinkan aktor jahat untuk melakukan eksekusi kode jarak jauh (CVE-2022-29499) dalam konteks Peralatan Layanan,” perusahaan mencatat dalam sebuah nasihat.
Eksploitasi memerlukan dua permintaan HTTP GET — yang digunakan untuk mengambil sumber daya tertentu dari server — untuk memicu eksekusi kode jarak jauh dengan mengambil perintah jahat dari infrastruktur yang dikendalikan penyerang.
Dalam insiden yang diselidiki oleh CrowdStrike, penyerang dikatakan telah menggunakan exploit untuk membuat shell terbalik, menggunakannya untuk meluncurkan shell web (“pdf_import.php”) pada alat VoIP dan mengunduh alat proxy Chisel open source.
Biner kemudian dieksekusi, tetapi hanya setelah mengganti namanya menjadi “memdump” dalam upaya untuk terbang di bawah radar dan menggunakan utilitas sebagai “proksi terbalik untuk memungkinkan aktor ancaman untuk berputar lebih jauh ke lingkungan melalui perangkat VOIP.” Tetapi deteksi aktivitas selanjutnya menghentikan kemajuan mereka dan mencegah mereka bergerak secara lateral melintasi jaringan.
Pengungkapan tiba kurang dari dua minggu setelah perusahaan pengujian penetrasi Jerman SySS mengungkapkan dua kelemahan pada telepon meja Mitel 6800/6900 (CVE-2022-29854 dan CVE-2022-29855) yang, jika berhasil dieksploitasi, dapat memungkinkan penyerang untuk mendapatkan hak akses root pada perangkat.
“Penambalan tepat waktu sangat penting untuk melindungi perangkat perimeter. Namun, ketika pelaku ancaman mengeksploitasi kerentanan yang tidak terdokumentasi, penambalan tepat waktu menjadi tidak relevan,” kata peneliti CrowdStrike Patrick Bennett.
“Aset penting harus diisolasi dari perangkat perimeter sejauh mungkin. Idealnya, jika aktor ancaman membahayakan perangkat perimeter, seharusnya tidak mungkin untuk mengakses aset penting melalui ‘satu lompatan’ dari perangkat yang disusupi.”