Une intrusion présumée de ransomware contre une cible non identifiée a utilisé une appliance Mitel VoIP comme point d’entrée pour exécuter du code à distance et obtenir un accès initial à l’environnement.
La résultats proviennent de la société de cybersécurité CrowdStrike, qui a retracé la source de l’attaque à un appareil Mitel VoIP basé sur Linux assis sur le périmètre du réseau, tout en identifiant également un exploit jusque-là inconnu ainsi que quelques mesures anti-légales adoptées par l’acteur sur le appareil pour effacer les traces de leurs actions.
L’exploit en question est suivi comme CVE-2022-29499 et a été corrigé par Mitel en avril 2022. Il est noté 9,8 sur 10 pour la gravité sur le système de notation des vulnérabilités CVSS, ce qui en fait une lacune critique.
« Une vulnérabilité a été identifiée dans le composant Mitel Service Appliance de MiVoice Connect (Mitel Service Appliances – SA 100, SA 400 et Virtual SA) qui pourrait permettre à un acteur malveillant d’exécuter du code à distance (CVE-2022-29499) dans le contexte du Service Appliance », la société c’est noté dans un avis.
L’exploit impliquait deux Requêtes HTTP GET – qui sont utilisés pour récupérer une ressource spécifique à partir d’un serveur – pour déclencher l’exécution de code à distance en récupérant des commandes malveillantes à partir de l’infrastructure contrôlée par l’attaquant.
Dans l’incident enquêté par CrowdStrike, l’attaquant aurait utilisé l’exploit pour créer un shell inversé, l’utilisant pour lancer un shell Web (« pdf_import.php ») sur l’appliance VoIP et télécharger l’open source Ciseau outil proxy.
Le binaire a ensuite été exécuté, mais seulement après l’avoir renommé en « memdump » dans une tentative de voler sous le radar et d’utiliser l’utilitaire comme » proxy inverse pour permettre à l’acteur de la menace de pivoter plus loin dans l’environnement via l’appareil VOIP. » Mais la détection ultérieure de l’activité a stoppé leur progression et les a empêchés de se déplacer latéralement à travers le réseau.
La divulgation arrive moins de deux semaines après que la société allemande de tests d’intrusion SySS a révélé deux failles dans les téléphones de bureau Mitel 6800/6900 (CVE-2022-29854 et CVE-2022-29855) qui, si elles sont exploitées avec succès, pourraient permettre à un attaquant d’obtenir les privilèges root. sur les appareils.
« L’application de correctifs en temps opportun est essentielle pour protéger les appareils périphériques. Cependant, lorsque des acteurs malveillants exploitent une vulnérabilité non documentée, l’application de correctifs en temps opportun devient inutile », a déclaré Patrick Bennett, chercheur chez CrowdStrike.
« Les actifs critiques doivent être isolés des appareils périphériques dans la mesure du possible. Idéalement, si un acteur menaçant compromet un appareil périphérique, il ne devrait pas être possible d’accéder aux actifs critiques via » un saut « à partir de l’appareil compromis. »