勒索团伙利用 Mitel VoIP 0day 发动攻击

研究员发现勒索攻击源自位于网络边界上 Mitel VoIP 设备，他们还发现一个0day (CVE-2022-29499） 的exploit 以及攻击者擦除操作痕迹的几个反取证措施。

该漏洞由Mitel 公司在2022年4月修复，CVSS评分为9.8分。该公司发布安全公告指出，“MiVoice Connect （MITEL Service Appliacnes – SA 100、SA400和Virtual SA）的Mitel Service Application 组件中存在一个漏洞，可导致恶意人员在Service Appliance 上下文中执行RCE。”

该exploit 需要两个HTTP GET 请求从服务器检索某个特定资源，通过从受攻击者控制的基础设施获取恶意命令，触发远程代码执行。研究人员调查发现，攻击者利用该exploit 创建了一个反向shell，借此启动VoIP 设备上的 web shell (“pdf_import.php”)并下载开源代理工具 Chisel。

之后该二进制被执行，不过首先将其更名为 “memdump”，并利用该工具作为“反向代理，使威胁行动者进一步通过 VOIP 设备跳转到该环境”。不过最后检测到该活动后，攻击者无法在网络进行横向移动。

两周前，德国渗透测试公司 SySS 披露了 Mitel 6800/6900 座机中的两个漏洞（CVE-2022-29854和CVE-2022-29855），如被成功利用可导致攻击者获得设备的根权限。

研究员指出，“及时修复对于保护边界设备至关重要。然而，当威胁行动者利用的是0day时，及时修复也是不相关的。应当隔离关键资产和边界资产。在理想情况下，如果威胁行动者攻陷了边界设备，则应该不会通过‘一跳’从受陷设备访问关键资产。”

目前可从网络公开访问近2.15万台Mitel 设备，它们多数位于美国，其次是英国、加拿大、法国和澳大利亚。

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~