黑客利用Mitel VoIP Zero Day进行可能的勒索软件攻击

针对未命名目标的可疑勒索软件入侵企图利用Mitel VoIP设备作为入口点，以实现远程代码执行并获得对环境的初始访问。

这些发现来自网络安全公司CrowdStrike，该公司追踪到了网络周边一个基于Linux的Mitel VoIP设备的攻击源，同时还发现了一个以前未知的漏洞，以及该设备上的行为人为消除其行为痕迹而采取的几项反法证措施。

所讨论的零日漏洞被追踪为CVE-2022-29499，Mitel于2022年4月通过与客户共享的修复脚本修复了该漏洞。在CVSS脆弱性评分系统中，其严重性评分为9.8分（满分为10分），这是一个严重缺陷。

“MiVoice Connect的Mitel Service Appliance组件（Mitel Service Appliances–；SA 100、SA 400和Virtual SA）中发现了一个漏洞，该漏洞允许恶意参与者在该服务设备的上下文中执行远程代码（CVE-2022-29499）”，该公司在一份咨询中指出。

该漏洞导致两个HTTP GET请求—；用于从服务器检索特定资源—；通过从攻击者控制的基础结构获取恶意命令来触发远程代码执行。

在CrowdStrike调查的事件中，据说攻击者利用该漏洞创建了一个反向shell，利用它在VoIP设备上启动一个web shell（“pdf\u import.php”），并下载开源的凿子代理工具。

该二进制文件随后被执行，但只是在将其重命名为“memdump”后，才尝试在雷达下飞行，并将该实用程序用作“反向代理，以允许威胁参与者通过VOIP设备进一步转向环境”但随后对活动的检测阻止了他们的进展，阻止了他们在网络上横向移动。

在德国渗透测试公司SySS发现Mitel 6800/6900台式电话（CVE-2022-29854和CVE-2022-29855）存在两个缺陷后不到两周，该漏洞如果被成功利用，可能会让攻击者获得设备的root权限。

CrowdStrike研究人员Patrick Bennett表示：“及时修补对于保护周边设备至关重要。然而，当威胁行为人利用未记录的漏洞进行攻击时，及时修补就变得无关紧要了。”。

“关键资产应尽可能与外围设备隔离。理想情况下，如果威胁行为人危害外围设备，则不可能通过受危害设备的“一跳”访问关键资产。”

最新消息：据安全研究员凯文·博蒙特（KevinBeaumont）称，网上有近21500个可公开访问的Mitel设备，其中大多数位于美国，其次是英国、加拿大、法国和澳大利亚。