Mitel Voip Zero-Day

Une intrusion présumée de ransomware contre une cible non identifiée a utilisé une appliance Mitel VoIP comme point d’entrée pour exécuter du code à distance et obtenir un accès initial à l’environnement.

La résultats proviennent de la société de cybersécurité CrowdStrike, qui a retracé la source de l’attaque à un appareil Mitel VoIP basé sur Linux assis sur le périmètre du réseau, tout en identifiant également un exploit jusque-là inconnu ainsi que quelques mesures anti-légales adoptées par l’acteur sur le appareil pour effacer les traces de leurs actions.

L’exploit en question est suivi comme CVE-2022-29499 et a été corrigé par Mitel en avril 2022. Il est noté 9,8 sur 10 pour la gravité sur le système de notation des vulnérabilités CVSS, ce qui en fait une lacune critique.

« Une vulnérabilité a été identifiée dans le composant Mitel Service Appliance de MiVoice Connect (Mitel Service Appliances – SA 100, SA 400 et Virtual SA) qui pourrait permettre à un acteur malveillant d’exécuter du code à distance (CVE-2022-29499) dans le contexte du Service Appliance », la société c’est noté dans un avis.

L’exploit impliquait deux Requêtes HTTP GET – qui sont utilisés pour récupérer une ressource spécifique à partir d’un serveur – pour déclencher l’exécution de code à distance en récupérant des commandes malveillantes à partir de l’infrastructure contrôlée par l’attaquant.

Publicité

Dans l’incident enquêté par CrowdStrike, l’attaquant aurait utilisé l’exploit pour créer un shell inversé, l’utilisant pour lancer un shell Web (« pdf_import.php ») sur l’appliance VoIP et télécharger l’open source Ciseau outil proxy.

Le binaire a ensuite été exécuté, mais seulement après l’avoir renommé en « memdump » dans une tentative de voler sous le radar et d’utiliser l’utilitaire comme  » proxy inverse pour permettre à l’acteur de la menace de pivoter plus loin dans l’environnement via l’appareil VOIP.  » Mais la détection ultérieure de l’activité a stoppé leur progression et les a empêchés de se déplacer latéralement à travers le réseau.

La Cyber-Sécurité

La divulgation arrive moins de deux semaines après que la société allemande de tests d’intrusion SySS a révélé deux failles dans les téléphones de bureau Mitel 6800/6900 (CVE-2022-29854 et CVE-2022-29855) qui, si elles sont exploitées avec succès, pourraient permettre à un attaquant d’obtenir les privilèges root. sur les appareils.

« L’application de correctifs en temps opportun est essentielle pour protéger les appareils périphériques. Cependant, lorsque des acteurs malveillants exploitent une vulnérabilité non documentée, l’application de correctifs en temps opportun devient inutile », a déclaré Patrick Bennett, chercheur chez CrowdStrike.

« Les actifs critiques doivent être isolés des appareils périphériques dans la mesure du possible. Idéalement, si un acteur menaçant compromet un appareil périphérique, il ne devrait pas être possible d’accéder aux actifs critiques via » un saut « à partir de l’appareil compromis. »

Rate this post
Publicité
Article précédentIntel reporte la cérémonie d’inauguration des travaux et met en garde contre les retards à l’usine de l’Ohio alors que la loi CHIPS est bloquée
Article suivantUn piratage intelligent de l’iPhone peut vous faire économiser des CENTAINES d’euros – et c’est très facile à faire
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici