Bilgisayar korsanları, fidye yazılımı saldırısının başlangıcı olduğuna inanılan ilk erişim için Linux tabanlı Mitel Mivoice VoIP cihazlarında sıfır gün istismarı kullandı.
Mitel VoIP cihazları, çeşitli sektörlerdeki kritik kuruluşlar tarafından telefon hizmetleri için kullanılır ve yakın zamanda yüksek hacimli DDOS amplifikasyon saldırıları için tehdit aktörleri tarafından kullanılmıştır.
CrowdStrike'ın yeni bir raporunda şirket, ağa ilk erişim elde etmek için şimdi CVE-2022-29499 (CVSS V3 skoru: 9.8-kritik) olarak izlenen sıfır gün uzaktan kod yürütme kusurunun kullanıldığını söylüyor.
Saldırı durdurulmasına rağmen, Crowdstrike sıfır günün fidye yazılımı saldırısının bir parçası olarak kullanıldığına inanıyor.
Güvenlik açığı, SA 100, SA 400 ve Virtual SA'da kullanılan MiVoice Connect'in Mitel Service Cihaz bileşeninde yer alır ve bir saldırganın hizmet cihazı bağlamında uzaktan kod yürütmesini (RCE) gerçekleştirmesine izin verir.
Sorun, bir teşhis komut dosyası için yetersiz veri doğrulamasından kaynaklanır ve uzaktan kumandasız saldırganların özel hazırlanmış istekler kullanarak komutları enjekte etmesine izin verir.
Exploit, biri bir PHP dosyasının "get_url" parametresini hedefleyen aygıta ve ikincisini cihazın kendisinde oluşturulan iki GET isteği içerir ve saldırganın altyapısına HTTP GET istekleri gerçekleştiren bir komut enjeksiyonuna neden olur.
Tehdit oyuncusu, güvenlik açığını, hedeflenen Mitel cihazında FIFO borulardan yararlanarak, tehlikeye atılan ağdan gelen talepler göndererek kullandılar.
Ters kabuk kurulmuş olarak, davetsiz misafir bir web kabuğu (pdf_import.php) oluşturdu ve ağda yanal olarak hareket ederken algılama şansını azaltmak için “keski” adlı bir ters proxy aracı indirdi.
Crowdstrike ayrıca, "DD" üzerine yazma komutunu kullanarak tehlikeye atılan cihazlardaki tüm dosyaları silmeye çalışan tehdit aktörünün anti-forensic çabalarından bahseder. Ancak, analistler /TMP bölümünden kanıt alabilir ve HTTP erişim günlüklerini kurtarabilirler.
Hiçbir resmi yama yayınlanmamış olsa da, Mitel 19 Nisan 2022'de Mivoice Connect 19.2 SP3 ve daha önceki ve R14.x ve daha erken bir iyileştirme komut dosyası yayınlayarak ele aldı.
Güvenlik araştırmacısı Kevin Beaumont'a göre, çoğunluğu Amerika Birleşik Devletleri'nde bulunan ve ardından İngiltere'de bulunan 21.000'den fazla halka açık Mitel cihazı var.
En az bir fidye yazılımı işleminin bu güvenlik açığından yararlandığına inanıldığından, daha yakında takip etme olasılığı daha yüksek bir şekilde, yöneticilerin hafifletmeleri mümkün olan en kısa sürede uyguladıkları şiddetle teşvik edilmektedir.
Sağlanan çözüm hakkında daha fazla bilgi için Mitel, ortakları ve kurumsal müşterileri firmanın destek portalına bu bağlantıyı takip etmeye çağırırken, ilgili güvenlik bülteninde ek ayrıntılar bulunabilir.
BleepingComputer, neden fidye yazılımı saldırısı olduğuna inandıklarını soran Crowdstrike ile temasa geçti ve bu makaleyi yanıtlarıyla güncelleyecek.
Fidye Yazılımında Hafta - 24 Haziran 2022 - Splinter Hücreleri
Sophos güvenlik duvarı sıfır gün hatası, düzeltmeden haftalar önce sömürüldü
Microsoft, Office Zero-Day için Azaltma Paylaşımları Saldırılarda Susturan
Windows Msdt Zero-Day şimdi Çince Hackers tarafından sömürüldü
Zyxel, saldırıya uğramış ağlara yol açabilecek güvenlik duvarı kusurlarını düzeltiyor
Kaynak: Bleeping Computer