Una supuesta intrusión de ransomware contra un objetivo sin nombre aprovechó un dispositivo Mitel VoIP como punto de entrada para lograr la ejecución remota de código y obtener acceso inicial al entorno.
Los hallazgos provienen de la firma de seguridad cibernética CrowdStrike, que rastreó el origen del ataque hasta un dispositivo Mitel VoIP basado en Linux ubicado en el perímetro de la red, al mismo tiempo que identificó un exploit previamente desconocido, así como un par de medidas anti-forense adoptadas por el actor en el dispositivo para borrar los rastros de sus acciones.
El exploit en cuestión se rastrea como CVE-2022-29499 y Mitel lo solucionó en abril de 2022. Tiene una calificación de 9,8 sobre 10 en cuanto a gravedad en el sistema de calificación de vulnerabilidad CVSS, lo que lo convierte en una deficiencia crítica. En el incidente investigado por CrowdStrike, se dice que el atacante usó el exploit para crear un shell inverso, utilizándolo para iniciar un shell web ("pdf_import.php") en el dispositivo VoIP y descargar la herramienta proxy Chisel de código abierto.
Luego, se ejecutó el binario, pero solo después de cambiarle el nombre a " memdump " en un intento de pasar desapercibido y usar la utilidad como un "proxy inverso para permitir que el actor de amenazas se introdujera más en el entorno a través del dispositivo VOIP". Pero la detección posterior de la actividad detuvo su progreso y les impidió moverse lateralmente a través de la red.
Komentar