Un sospetto tentativo di intrusione ransomware contro un obiettivo senza nome ha sfruttato un dispositivo VoIP Mitel come punto di ingresso per ottenere l’esecuzione di codice remoto e ottenere l’accesso iniziale all’ambiente.
Le scoperte provengono dalla società di cybersicurezza CrowdStrike, che ha rintracciato la fonte dell’attacco in un dispositivo VoIP Mitel basato su Linux situato nel perimetro della rete, identificando anche un exploit precedentemente sconosciuto e un paio di misure anti-forensi adottate dall’attore sul dispositivo per cancellare le tracce delle sue azioni.
L’exploit zero-day in questione è classificato come CVE-2022-29499 ed è stato risolto da Mitel nell’aprile 2022 mediante uno script di correzione condiviso con i clienti.
Il sistema di valutazione delle vulnerabilità CVSS ha assegnato un punteggio di 9,8 su 10 per la gravità della vulnerabilità, rendendola una falla critica.
“È stata identificata una vulnerabilità nel componente Mitel Service Appliance di MiVoice Connect (Mitel Service Appliances – SA 100, SA 400 e Virtual SA) che potrebbe consentire a un malintenzionato di eseguire codice in modalità remota (CVE-2022-29499) nel contesto del Service Appliance“, ha dichiarato l’azienda in un avviso.
L’exploit prevedeva due richieste HTTP GET – utilizzate per recuperare una risorsa specifica da un server – per innescare l’esecuzione di codice remoto recuperando comandi illeciti dall’infrastruttura controllata dall’aggressore.
Nell’incidente analizzato da CrowdStrike, l’aggressore avrebbe usato l’exploit per creare una reverse shell, utilizzandola per lanciare una shell web (“pdf_import.php”) sul dispositivo VoIP e scaricare lo strumento proxy open source Chisel.
Il binario è stato quindi eseguito, ma solo dopo averlo rinominato in “memdump” nel tentativo di non farsi notare e di utilizzare l’utility come “proxy inverso per consentire all’attore della minaccia di penetrare ulteriormente nell’ambiente attraverso il dispositivo VOIP“. Ma il successivo rilevamento dell’attività ha fermato i loro progressi e impedito loro di muoversi lateralmente attraverso la rete.
La rivelazione arriva meno di due settimane dopo che la società tedesca di penetration testing SySS ha rivelato due falle nei telefoni fissi Mitel 6800/6900 (CVE-2022-29854 e CVE-2022-29855) che, se sfruttate con successo, avrebbero potuto consentire a un aggressore di ottenere privilegi di root sui dispositivi.
“La tempestività delle patch è fondamentale per proteggere i dispositivi perimetrali. Tuttavia, quando gli attori delle minacce sfruttano una vulnerabilità non documentata, la patch tempestiva diventa irrilevante“, ha dichiarato Patrick Bennett, ricercatore di CrowdStrike.
“Le risorse critiche dovrebbero essere isolate dai dispositivi perimetrali per quanto possibile. Idealmente, se un attore minaccia di compromettere un dispositivo perimetrale, non dovrebbe essere possibile accedere alle risorse critiche attraverso ‘un salto’ dal dispositivo compromesso“.
