Ciberdelincuentes aprovechan fallo de día cero de Mitel VoIP, para desplegar un ransomware

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Una presunta intrusión de ransomware contra un objetivo no identificado aprovechó un dispositivo VoIP de Mitel como punto de entrada para lograr la ejecución remota de código y obtener acceso inicial al entorno.

Los hallazgos provienen de la empresa de ciberseguridad CrowdStrike, que rastreó el origen del ataque hasta un dispositivo VoIP de Mitel basado en Linux que se encontraba en el perímetro de la red, al tiempo que identificó un exploit previamente desconocido, así como un par de medidas antiforenses adoptadas por el actor en el dispositivo para borrar los rastros de sus acciones.

El exploit en cuestión está rastreado como CVE-2022-29499 y fue corregido por Mitel en abril de 2022. Tiene una calificación de 9,8 sobre 10 en cuanto a gravedad en el sistema de puntuación de vulnerabilidades CVSS, lo que la convierte en una deficiencia crítica.

“Se ha identificado una vulnerabilidad en el componente Mitel Service Appliance de MiVoice Connect (Mitel Service Appliances – SA 100, SA 400 y Virtual SA) que podría permitir a un actor malicioso realizar la ejecución remota de código (CVE-2022-29499) dentro del contexto del Service Appliance”, señaló la empresa en un aviso.

El exploit implicaba dos peticiones HTTP GET -que se utilizan para recuperar un recurso específico de un servidor- para desencadenar la ejecución remota de código mediante la obtención de comandos falsos de la infraestructura controlada por el atacante.

En el incidente investigado por CrowdStrike, el atacante habría utilizado el exploit para crear una shell inversa, utilizándola para lanzar una shell web (“pdf_import.php”) en el dispositivo VoIP y descargar la herramienta proxy de código abierto Chisel.

A continuación, se ejecutó el binario, pero sólo después de cambiarle el nombre a “memdump” en un intento de pasar desapercibido y utilizar la utilidad como “proxy inverso para permitir que el actor de la amenaza se adentrara más en el entorno a través del dispositivo VOIP”. Pero la detección posterior de la actividad detuvo su progreso y le impidió moverse lateralmente por la red.

La revelación llega menos de dos semanas después de que la empresa alemana de pruebas de penetración SySS revelara dos fallos en los teléfonos de sobremesa Mitel 6800/6900 (CVE-2022-29854 y CVE-2022-29855) que, si se explotan con éxito, podrían permitir a un atacante obtener privilegios de root en los dispositivos.

Con información de Info Security Magazine.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *