A partir de abril deste ano, grupos de ransomware têm explorado vulnerabilidades como uma forma de usar um aplicativo Mitel VoIP baseado em Linux (Voice over Internet Protocol) como uma porta de entrada para sistemas direcionados. Esta vulnerabilidade crítica de execução de código remoto (RCE), identificada como CVE-2022-29499, foi o primeiro relatório da Crowdstrike e já foi corrigida.
A Mitel é amplamente reconhecida por fornecer sistemas de telefonia para empresas e comunicação unificada como um serviço (UCaaS). Ela se destaca na tecnologia VoIP, que permite que os usuários façam chamadas utilizando uma conexão de internet ao invés de linhas telefônicas normais.
Crowdstrike informa que os equipamentos Mitel MiVoice SA 100, SA 400 e Virtual SA são suscetíveis a uma ameaça. Estes dispositivos fornecem aos usuários uma maneira simples e direta de acessar todas as suas ferramentas e comunicações.
Um bug foi empregado para permitir que um ransomware fosse instalado em vários dispositivos. O exploit foi usado para ganhar entrada não autorizada e colocar o programa mal-intencionado nos computadores.
Um estudo recente conduzido por um pesquisador da CrowdStrike examinou um ataque suspeito de ransomware. A equipe de pesquisa conseguiu lidar com a invasão de forma rápida, e acredita-se que a vulnerabilidade (CVE-2022-29499) tenha sido usada para realizar o ataque de ransomware.
CrowdStrike detectou uma atividade mal-intencionada relacionada a um endereço IP vinculado a um dispositivo Mitel VoIP que funciona com Linux. Após várias análises, descobriu-se uma nova exploração de código remoto.
O dispositivo foi desligado da internet e fotografado para exame extra, que resultou na identificação de um novo exploit de execução de código remoto empregado pelo agente de ameaça a fim de alcançar acesso inicial ao sistema, como informou Patrick Bennet em um post no blog.
A exploração implica duas solicitações GET. A primeira se refere a um parâmetro “get_url” de um arquivo PHP e a segunda vem diretamente do dispositivo.
Esta inicial requisição era necessária pois a URL frágil original foi limitada a receber requisições de endereços IP externos”, explicou o pesquisador.
A segunda solicitação executa uma injeção de comando, enviando uma requisição GET HTTP para a infraestrutura gerenciada pelo invasor e executando o comando armazenado no servidor do agressor.
Os investigadores descobriram que o adversário empregou o comando “mkfifo” para fabricar um arquivo especial especificado no parâmetro do arquivo. Seguido disso, utilizou o “openssl_client” para gerar um shell reverso habilitado por SSL com o intuito de enviar requisições de saída da rede comprometida.
Após o shell reverso ser estabelecido, um shell web designado “pdf_import.php” foi criado. Embora o seu conteúdo original não tenha sido recuperado, os investigadores observaram que havia um pedido POST para o endereço IP que o exploit havia ocorrido na log. Além disso, o atacante descarregou uma ferramenta de túneis conhecida como “Chisel” nos dispositivos VoIP para progredir na rede sem ser notado.
A Crowdstrike também consegue detectar os métodos utilizados pelos atores de ameaça para ocultar suas ações.
Embora o ator de ameaça tivesse deletado completamente os arquivos do sistema de arquivos do dispositivo VoIP, a CrowdStrike conseguiu recuperar os dados forenses do aparelho. Isso incluiu a exploração não documentada usada para entrar no dispositivo, as ferramentas descarregadas pelo ator de ameaça para o dispositivo e as provas de medidas anti-forenses específicas tomadas pelo ator de ameaça, de acordo com Bennett.
Em 19 de abril de 2022, a Mitel lançou um serviço de consultoria de segurança para as versões da MiVoice Connect 19.2 SP3 e anteriores, embora nenhuma atualização oficial tenha sido ainda liberada.
Os dispositivos da Mitel estão vulneráveis a ataques que podem ser acessados através do Shodan.
O Kevin Beaumont, especialista em segurança, twittou uma string “http.html_hash:-1971546278” para que seja possível localizar equipamentos Mitel suscetíveis no Shodan, mecanismo de busca.
Segundo Kevin, existem aproximadamente 21.000 dispositivos Mitel que são acessíveis de forma pública em todo o mundo, a maioria situada nos Estados Unidos, e em seguida pelo Reino Unido.
Sugestões Mitel para Minimizar Riscos
CrowdStrike aconselha que as corporações reforcem seus mecanismos de segurança ao realizar modelos de ameaças e identificar atividades maliciosas. Além disso, a empresa orienta a separar os ativos essenciais e equipamentos de perímetro para que se possa limitar o acesso, caso os dispositivos de perímetro sejam comprometidos.
Bennett explica que, embora seja crítico instalar atualizações oportunas para proteger dispositivos de perímetro, isso se torna irrelevante quando os atacantes exploram uma falha não documentada.
Mande este artigo para outras pessoas.
- Malware é um programa indesejado que tem como objetivo prejudicar computadores.
- Vulnerabilidades de segurança são oportunidades para invasores aproveitarem para invadir e minar a segurança de um sistema.