WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Lỗi Zero-Day trên Mitel VoIP bị lợi dụng để thực hiện tấn công Ransomware
Cuộc tấn công được nghi ngờ là ransomware nhằm vào một mục tiêu chưa xác định đã sử dụng thiết bị Mitel VoIP để thực thi mã từ xa và chiếm quyền truy cập.
CrowdStrike, một công ty an ninh mạng đã truy tìm nguồn gốc của cuộc tấn công từ một thiết bị Mitel VoIP trên Linux, với cách khai thác chưa từng biết trước đó sử dụng các biện pháp tránh bị phát hiện để xóa dấu vết.
Lỗi zero-day (CVE-2022-29499) đã được Mitel khắc phục vào tháng 4 năm 2022, với điểm CVSS là 9,8, khiến nó trở thành một lỗi nghiêm trọng.
"Một lỗ hổng đã được xác định trong thành phần Mitel Service Appliance của MiVoice Connect (Mitel Service Appliances - SA 100, SA 400 và Virtual SA) có thể cho phép hacker thực hiện việc thực thi mã từ xa (CVE-2022-29499) trong Service Appliance", khuyến cáo cho hay.
Việc khai thác đòi hỏi hai yêu cầu HTTP GET - được sử dụng để truy xuất tài nguyên cụ thể từ máy chủ - để kích hoạt thực thi mã từ xa bằng cách tìm nạp các lệnh giả mạo từ cơ sở hạ tầng do kẻ tấn công kiểm soát.
Trong sự cố được CrowdStrike điều tra, kẻ tấn công được cho là đã sử dụng cách khai thác để tạo một “shell” ngược, sử dụng nó để khởi chạy shell web ("pdf_import.php") trên thiết bị VoIP và tải xuống công cụ proxy mã nguồn mở Chisel.
Tiết lộ được đưa ra chưa đầy hai tuần sau khi công ty SySS của Đức tiết lộ hai lỗ hổng trong điện thoại bàn Mitel 6800/6900 (CVE-2022-29854 và CVE-2022-29855), nếu khai thác thành công, có thể cho phép kẻ tấn công chiếm được quyền root đặc quyền trên thiết bị.
Nhà nghiên cứu Patrick Bennett của CrowdStrike cho biết: “Việc vá lỗi kịp thời là rất quan trọng để bảo vệ các thiết bị”.
Theo nhà nghiên cứu bảo mật Kevin Beaumont, có gần 21.500 thiết bị Mitel có thể truy cập công khai trực tuyến, với phần lớn nằm ở Hoa Kỳ, tiếp theo là Vương quốc Anh, Canada, Pháp và Úc.
CrowdStrike, một công ty an ninh mạng đã truy tìm nguồn gốc của cuộc tấn công từ một thiết bị Mitel VoIP trên Linux, với cách khai thác chưa từng biết trước đó sử dụng các biện pháp tránh bị phát hiện để xóa dấu vết.
Lỗi zero-day (CVE-2022-29499) đã được Mitel khắc phục vào tháng 4 năm 2022, với điểm CVSS là 9,8, khiến nó trở thành một lỗi nghiêm trọng.
"Một lỗ hổng đã được xác định trong thành phần Mitel Service Appliance của MiVoice Connect (Mitel Service Appliances - SA 100, SA 400 và Virtual SA) có thể cho phép hacker thực hiện việc thực thi mã từ xa (CVE-2022-29499) trong Service Appliance", khuyến cáo cho hay.
Việc khai thác đòi hỏi hai yêu cầu HTTP GET - được sử dụng để truy xuất tài nguyên cụ thể từ máy chủ - để kích hoạt thực thi mã từ xa bằng cách tìm nạp các lệnh giả mạo từ cơ sở hạ tầng do kẻ tấn công kiểm soát.
Trong sự cố được CrowdStrike điều tra, kẻ tấn công được cho là đã sử dụng cách khai thác để tạo một “shell” ngược, sử dụng nó để khởi chạy shell web ("pdf_import.php") trên thiết bị VoIP và tải xuống công cụ proxy mã nguồn mở Chisel.
Tiết lộ được đưa ra chưa đầy hai tuần sau khi công ty SySS của Đức tiết lộ hai lỗ hổng trong điện thoại bàn Mitel 6800/6900 (CVE-2022-29854 và CVE-2022-29855), nếu khai thác thành công, có thể cho phép kẻ tấn công chiếm được quyền root đặc quyền trên thiết bị.
Nhà nghiên cứu Patrick Bennett của CrowdStrike cho biết: “Việc vá lỗi kịp thời là rất quan trọng để bảo vệ các thiết bị”.
Theo nhà nghiên cứu bảo mật Kevin Beaumont, có gần 21.500 thiết bị Mitel có thể truy cập công khai trực tuyến, với phần lớn nằm ở Hoa Kỳ, tiếp theo là Vương quốc Anh, Canada, Pháp và Úc.
Theo: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: