Peretas Menggunakan Mitel Zero-Day Flaw Untuk Menargetkan Peralatan VOIP

  • Whatsapp
Peretas Menggunakan Mitel Zero-Day Flaw Untuk Menargetkan Peralatan VOIP
Peretas Menggunakan Mitel Zero Day Flaw Untuk Menargetkan Peralatan VOIP
Peretas Menggunakan Mitel Zero-Day Flaw Untuk Menargetkan Peralatan VOIP

Pada perangkat Mitel MiVoice VOIP berbasis Linux, peretas telah menggunakan eksploitasi zero-day untuk meretas ke dalam sistem. Upaya ini tampaknya menjadi awal dari serangan ransomware yang lebih besar di mana mereka mencoba untuk mendapatkan akses awal.

Organisasi paling kritis di berbagai sektor mengandalkan perangkat Mitel VOIP untuk kebutuhan komunikasi telepon mereka. Sedangkan serangan yang memperkuat serangan DDoS baru-baru ini dilakukan oleh aktor ancaman dengan memanfaatkan perangkat yang rentan tersebut.

Pakar keamanan di CrowdStrike memiliki diklaim bahwa pelanggaran tersebut pertama kali dieksploitasi untuk mendapatkan akses ke jaringan melalui kerentanan RCE zero-day yang telah dilacak sebagai “CVE-2022-29499.”

Profil cacat

  • ID CV: CVE-2022-29499
  • Ringkasan Cacat: Komponen Service Appliance di Mitel MiVoice Connect melalui 19.2 SP3 memungkinkan eksekusi kode jarak jauh karena validasi data yang salah. Peralatan Servis adalah SA 100, SA 400, dan SA Virtual.
  • Jenis: kerentanan RCE
  • Skor CVSS: 9,8
  • Keparahan: Kritis

Analisis Teknis

Komponen Mitel Service Appliance dari MiVoice Connect mengandung kerentanan ini, dan komponen ini digunakan di perangkat berikut:-

Dengan cara ini, penyerang dapat menargetkan Service Appliance untuk melakukan RCE. Ada masalah dengan validasi data untuk skrip diagnostik yang disebabkan oleh jumlah data yang tidak mencukupi.

Dengan menyuntikkan perintah melalui permintaan yang dibuat khusus, ini dapat dimanfaatkan oleh penyerang. Dua permintaan GET digunakan dalam eksploit, dan di bawah ini kami telah menyebutkannya: –

  • Satu dikirim ke perangkat yang menargetkan file PHP dengan parameter yang disebut “get_url”.
  • Infrastruktur penyerang diakses melalui permintaan HTTP GET dari yang kedua, yang dibuat di perangkat itu sendiri.

Dengan memanfaatkan kerentanan pipa FIFO pada perangkat Mitel target, pelaku ancaman dapat merakit cangkang terbalik pada sistem target.

Juga dilaporkan bahwa Crowdstrike menemukan bahwa penyerang berusaha untuk menekan semua jejak analisis forensik dari perangkat yang disusupi dengan menghapus semua file menggunakan perintah penimpaan yang dikenal sebagai “dd.”

Para penyelidik dapat memulihkan log akses HTTP dari partisi /tmp, selain bukti dari partisi /tmp.

Perlu dicatat bahwa saat ini tidak ada patch resmi yang tersedia. Namun, pada 19 April 2022, Mitel merilis skrip perbaikan untuk versi yang terpengaruh berikut:-

  • MiVoice Connect versi 19.2 SP3 dan versi sebelumnya.
  • versi R14.x.

Kerentanan ini tampaknya telah dieksploitasi oleh setidaknya satu operasi ransomware. Pengelola sendiri harus menerapkan mitigasi sesegera mungkin agar bisa seefektif mungkin.

Anda dapat mengikuti kami di Linkedin, Twitter, Facebook untuk pembaruan Cybersecurity harian.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.