Une tentative d’intrusion suspectée d’un rançongiciel contre une cible non identifiée a utilisé une appliance Mitel VoIP comme point d’entrée pour réaliser l’exécution de code à distance et obtenir un accès initial à l’environnement. Les conclusions proviennent de la société de cybersécurité CrowdStrike, qui a retracé la source de l’attaque à un appareil Mitel VoIP basé sur Linux assis sur le périmètre du réseau, tout en identifiant également un exploit jusque-là inconnu ainsi que quelques mesures anti-légales adoptées par l’acteur. sur l’appareil pour effacer les traces de leurs actions. L’exploit zero-day en question est suivi comme CVE-2022-29499 et a été corrigé par Mitel en avril 2022 au moyen d’un script de correction qu’il a partagé avec les clients. Il est noté 9,8 sur 10 pour la gravité sur le système de notation des vulnérabilités CVSS, ce qui en fait une lacune critique. « Une vulnérabilité a été identifiée dans le composant Mitel Service Appliance de MiVoice Connect (Mitel Service Appliances – SA 100, SA 400 et Virtual SA) qui pourrait permettre à un acteur malveillant d’exécuter du code à distance (CVE-2022-29499) dans le contexte du Service Appliance », a noté la société dans un avis. L’exploit impliquait deux requêtes HTTP GET – qui sont utilisées pour récupérer une ressource spécifique d’un serveur – pour déclencher l’exécution de code à distance en récupérant des commandes malveillantes à partir de l’infrastructure contrôlée par l’attaquant. Dans l’incident enquêté par CrowdStrike, l’attaquant aurait utilisé l’exploit pour créer un shell inversé, l’utilisant pour lancer un shell Web (« pdf_import.php ») sur l’appliance VoIP et télécharger l’outil proxy open source Chisel. Le binaire a ensuite été exécuté, mais seulement après l’avoir renommé en « memdump » dans le but de voler sous le radar et d’utiliser l’utilitaire comme « proxy inverse pour permettre à l’acteur de la menace de pivoter plus loin dans l’environnement via le périphérique VOIP ». Mais la détection ultérieure de l’activité a stoppé leur progression et les a empêchés de se déplacer latéralement sur le réseau. La divulgation arrive moins de deux semaines après que la société allemande de tests d’intrusion SySS a révélé deux failles dans les téléphones de bureau Mitel 6800/6900 (CVE-2022-29854 et CVE-2022-29855) qui, si elles étaient exploitées avec succès, auraient pu permettre à un attaquant de s’enraciner. privilèges sur les appareils. « L’application de correctifs en temps opportun est essentielle pour protéger les appareils périphériques. Cependant, lorsque des acteurs malveillants exploitent une vulnérabilité non documentée, l’application de correctifs en temps opportun devient inutile », a déclaré Patrick Bennett, chercheur chez CrowdStrike. « Les actifs critiques doivent être isolés des appareils périphériques dans la mesure du possible. Idéalement, si un acteur menaçant compromet un appareil périphérique, il ne devrait pas être possible d’accéder aux actifs critiques via » un saut « à partir de l’appareil compromis. » Mise à jour : Selon le chercheur en sécurité Kevin Beaumont, il existe près de 21 500 appareils Mitel accessibles au public en ligne, la majorité étant située aux États-Unis, suivis du Royaume-Uni, du Canada, de la France et de l’Australie.