Исследователи предупреждают, что злоумышленники используют эксплоит для уязвимости нулевого дня в устройствах Mitel MiVoice VoIP для проникновения в сети компаний и получения начального доступа. Судя по всему, с эксплуатации этого бага начинаются вымогательские атаки.
Проблему обнаружили специалисты из компании CrowdStrike. Уязвимости был присвоен идентификатор CVE-2022-29499 (9,8 балла из 10 по шкале CVSS), и разработчики Mitel исправили ее в апреле 2022 года.
Уязвимость была связана с компонентом Mitel Service Appliance MiVoice Connect, используемом в SA 100, SA 400 и Virtual SA. Проблема позволяла удаленно выполнить произвольный код в контексте Service Appliance. Сам баг заключался в некорректной валидации данных для диагностического скрипта, что позволяло удаленным и неаутентифицированным атакующим осуществлять инъекции команд с помощью специально подготовленных запросов.
Так, эксплоит включал в себя два GET-запроса, один из которых отправлялся на устройство и нацеливался на параметр «get_url» в PHP-файле, а второй генерировался на самом устройстве, приводя к инъекции команды, которая выполняет GET-запросы к инфраструктуре злоумышленника.
Известно, что хакеры использовали уязвимость для создания реверс-шеллов, задействовав FIFO-каналы на целевом устройстве Mitel и отправляя исходящие запросы из скомпрометированной сети. После этого атакующие создавали веб-шелл pdf_import.php и загружали опенсорсный реверс-прокси Chisel, чтобы уменьшить вероятность обнаружения атаки при последующем боковом перемещении по сети жертвы.
К сожалению, исследователи не сообщают, операторы какого именно шифровальщика использовали эту уязвимость в своих атаках. Но стоит заметить, что независимый ИБ-эксперт Кевин Бомонт отмечает, что в интернете можно найти более 21 000 устройств Mitel, большинство из которых расположены в США и Великобритании.