Resumen: Recientemente, los actores de la amenaza utilizaron un exploit de tipo zero day para penetrar en los dispositivos VOIP Mitel MiVoice basados en Linux.
De acuerdo con un informe publicado por la firma en ciberseguridad de CrowdStrike, un grupo de ciberdelincuentes logró aprovechar una vulnerabilidad, ahora rastreada como CVE-2022-29499 (CVSS 9.8), para obtener el acceso inicial a los dispositivos conectados a la red objetivo.
El fallo se trata de un problema de ejecución remota de código, que se encuentra en el componente de Mitel Service Appliance de MiVoice Connect en los dispositivos VOIP de Mitel.
El problema se debe a la validación insuficiente de los datos de un script de diagnóstico.
Por lo tanto, una explotación exitosa le permitiría a los actores de la amenaza inyectar comandos utilizando diferentes solicitudes específicamente diseñadas, cosa que daría lugar a una ejecución remota de código.
Ahora bien, de acuerdo con los analistas de CrowdStrike, en esta ocasión los actores de la amenaza utilizaron el fallo para crear un shell inverso aprovechando las tuberías “FIFO” en el dispositivo Mitel objetivo.
Más adelante, enviaron una serie de peticiones desde la red comprometida y, una vez establecida la shell inversa, crearon otro tipo de shell denominada como “pdf_import.php”.
Posteriormente, los atacantes descargaron una herramienta de proxy conocida como “Chisel”, esto con el objetivo de minimizar sus posibilidades de ser detectados mientras llevaban a cabo el movimiento lateral en la red.
Finalmente, en las últimas etapas del ataque, los ciberdelincuentes intentaron borrar los archivos de los dispositivos comprometidos, usando el comando de sobrescritura “dd”.
Actualmente, se cree que más de una operación APT está explotando esta vulnerabilidad.
Dicho esto y dada la posible explotación del fallo, Mitel ha abordado la vulnerabilidad con el lanzamiento de un script que funciona como parche.
El script, ya está disponible para las versiones 19.2 SP3 y anteriores de MiVoice Connect y R14.x o anteriores.
Es prácticamente vital descargar los parches correspondientes para mitigar la posible explotación de este fallo.
En caso de que deseé conocer mayor información al respecto, puede ingresar al portal de soporte de Mitel.
Referencias: https://masterjitips.com/mitel-zero-day-used-by-hackers-in-suspected-ransomware-attack/ |
SÍGUENOS