Peretas Mengeksploitasi Mitel VoIP Zero-Day dalam Kemungkinan Serangan Ransomware

  • Whatsapp
Mitel VoIP Zero-Day
Peretas Mengeksploitasi Mitel VoIP Zero Day dalam Kemungkinan Serangan Ransomware

News.nextcloud.asia –

Mitel VoIP Zero-Day

Dugaan intrusi ransomware terhadap target yang tidak disebutkan namanya memanfaatkan alat VoIP Mitel sebagai titik masuk untuk mencapai eksekusi kode jarak jauh dan mendapatkan akses awal ke lingkungan.

Itu temuan datang dari perusahaan cybersecurity CrowdStrike, yang melacak sumber serangan ke perangkat VoIP Mitel berbasis Linux yang berada di perimeter jaringan, sementara juga mengidentifikasi eksploitasi yang sebelumnya tidak diketahui serta beberapa tindakan anti-forensik yang diadopsi oleh aktor di perangkat untuk menghapus jejak tindakan mereka.

Eksploitasi yang dimaksud dilacak sebagai CVE-2022-29499 dan diperbaiki oleh Mitel pada April 2022. Ini dinilai 9,8 dari 10 untuk tingkat keparahan pada sistem penilaian kerentanan CVSS, menjadikannya kelemahan kritis.

“Sebuah kerentanan telah diidentifikasi dalam komponen Mitel Service Appliance dari MiVoice Connect (Mitel Service Appliances – SA 100, SA 400, dan Virtual SA) yang dapat memungkinkan aktor jahat untuk melakukan eksekusi kode jarak jauh (CVE-2022-29499) dalam konteks Peralatan Layanan,” perusahaan dicatat dalam sebuah nasehat.

Eksploitasi itu melibatkan dua HTTP GET permintaan — yang digunakan untuk mengambil sumber daya tertentu dari server — untuk memicu eksekusi kode jarak jauh dengan mengambil perintah jahat dari infrastruktur yang dikendalikan penyerang.

Dalam insiden yang diselidiki oleh CrowdStrike, penyerang dikatakan telah menggunakan exploit untuk membuat shell terbalik, menggunakannya untuk meluncurkan shell web (“pdf_import.php”) pada alat VoIP dan mengunduh open source Pahat alat proksi.

Biner kemudian dieksekusi, tetapi hanya setelah mengganti namanya menjadi “memdump” dalam upaya untuk terbang di bawah radar dan menggunakan utilitas sebagai “proksi terbalik untuk memungkinkan aktor ancaman untuk berputar lebih jauh ke lingkungan melalui perangkat VOIP.” Tetapi deteksi aktivitas selanjutnya menghentikan kemajuan mereka dan mencegah mereka bergerak secara lateral di seluruh jaringan.

Keamanan cyber

Pengungkapan tiba kurang dari dua minggu setelah perusahaan pengujian penetrasi Jerman SySS mengungkapkan dua kelemahan pada telepon meja Mitel 6800/6900 (CVE-2022-29854 dan CVE-2022-29855) yang, jika berhasil dieksploitasi, dapat memungkinkan penyerang untuk mendapatkan hak akses root pada perangkat.

“Penambalan tepat waktu sangat penting untuk melindungi perangkat perimeter. Namun, ketika pelaku ancaman mengeksploitasi kerentanan yang tidak terdokumentasi, penambalan tepat waktu menjadi tidak relevan,” kata peneliti CrowdStrike Patrick Bennett.

“Aset penting harus diisolasi dari perangkat perimeter sejauh mungkin. Idealnya, jika aktor ancaman membahayakan perangkat perimeter, seharusnya tidak mungkin mengakses aset penting melalui ‘satu lompatan’ dari perangkat yang disusupi.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.