حمله باج افزاری به یکی از دستگاه های مهم استفاده شونده در سازمان های حساس!

به گزارش کارگروه امنیت سایبربان؛ هکرها با استفاده از یک کد مخرب روز صفر بر روی دستگاه های مبتنی بر لینوکس Mitel MiVoice VOIP به دسترسی اولیه دست یافتند که این خود می تواند شروع یک حمله باج افزاری باشد.

دستگاه های Mitel VOIP به منظور ارائه خدمات تلفنی در بخش های مختلف مورد استفاده سازمان های حساس قرار دارد. بازیگران مخرب اخیرا با هدف انجام حملات منع سرویس، این دستگاه ها را مورد بهره برداری قرار داده اند. 

کرود استرایک در گزارش جدید خود مدعی شده است که یک نقص امنیتی روز صفر اجرای راه دور کد (CVE-2022-29499) با نمره شدت 9.8 از 10 برای دسترسی اولیه به شبکه هدف مورد استفاده قرار گرفته است. اگرچه این حمله متوقف شد اما کرود استرایک معتقد است این نقص امنیتی روز صفر به عنوان بخشی از یک حمله باج افزاری مورد استفاده قرار گرفته است. 

این آسیب پذیری، مجوز اجرای دور کد در بستر Service Appliance را صادر می کند.

این مشکل که به دلیل عدم اعتبار سنجی درست داده ها به وجود آمده است، این امکان را مهاجمین می دهد تا با استفاده از درخواست های ساختگی خود، فرمان های خود را تزریق کنند. 

این کد مخرب شامل دو درخواست GET می باشد که یکی از آن ها به دستگاه هدف ارسال می شود و پارامتر get url یک فایل PHP را هدف قرار می دهد و دیگری موجب تزریق فرمانی می شود که درخواست HTTP PHP را بر روی زیرساخت های مهاجم اجرا می کند. 

بازیگران مخرب با استفاده از این آسیب پذیری و از طریق افزایش سطح دسترسی به لوله های FIFO موجود بر روی دستگاه Mitel هدف، اقدام به ایجاد شل معکوس می کنند. 

مهاجم در کنار ایجاد شل معکوس، یک وب شل را نیز به وجود آورد و ابزار پراکسی معکوسی به نام چیزِل را دانلود کرد. این اقدامات، شانس شناسایی شدن به هنگام حرکت جانبی در شبکه را کاهش می دهد. 

طبق گزارش محققین، بیش از 21 هزار دستگاه آنلاین Mitel در دسترس عموم قرار دارد که اکثر آن ها در آمریکا و انگلستان مستقر هستند.