Một nỗ lực xâm nhập bị nghi ngờ là ransomware nhằm vào một mục tiêu chưa xác định đã lạm dụng thiết bị Mitel VoIP để thực thi mã từ xa và có được quyền truy cập ban đầu.
Công ty bảo mật CrowdStrike đã phát hiện sự việc, đồng thời xác định một hành vi khai thác [chưa từng được biết trước đó] cũng như một số biện pháp gây cản trở điều tra mà kẻ tấn công đã triển khai để xóa dấu vết hoạt động của chúng.
Zero-day có định danh CVE-2022-29499 (điểm CVSS: 9,8-lỗ hổng nghiêm trọng), đã được Mitel phát hành bản vá vào tháng 4 năm 2022.
Công ty cho biết "lỗ hổng được xác định trong thành phần Mitel Service Appliance của MiVoice Connect (Mitel Service Appliances - SA 100, SA 400 và Virtual SA), có thể cho phép kẻ tấn công thực thi mã từ xa".
Trong sự cố do CrowdStrike điều tra, kẻ tấn công được cho là đã sử dụng khai thác để tạo một reverse shell và sử dụng nó để khởi chạy web shell ("pdf_import.php") trên thiết bị VoIP, sau đó tải và cài đặt công cụ proxy mã nguồn mở Chisel.
Công cụ này sẽ cho phép kẻ tấn công thâm nhập sâu hơn vào môi trường mục tiêu thông qua thiết bị VOIP. Tuy nhiện, việc phát hiện đã giúp ngăn chặn tiến triển khai thác của kẻ tấn công công, ngăn chúng không thể xâm nhập sâu vào trong mạng.
Theo nhà nghiên cứu Kevin Beaumont, có gần 21.500 thiết bị Mitel có thể truy cập công khai trực tuyến, với phần lớn nằm ở Mỹ, sau đó là Anh, Canada, Pháp và Úc.
Nhà nghiên cứu Patrick Bennett của CrowdStrike cho biết: “Việc vá lỗ hổng kịp thời là rất quan trọng để bảo vệ các thiết bị ngoại vi.
"Các tài sản quan trọng nên được cách ly khỏi các thiết bị ngoại vi trong mức có thể để giảm thiểu rủi ro khi kẻ xấu có thể xâm phạm thiết bị ngoại vi, ngăn chúng không thể truy cập đến các tài sản quan trọng thông qua thiết bị bị xâm phạm".
Phát hiện này được đưa ra chưa đầy hai tuần sau khi công ty bảo mật SySS của Đức tiết lộ về hai lỗ hổng trong điện thoại bàn Mitel 6800/6900 (CVE-2022-29854 và CVE-2022-29855), nếu khai thác thành công có thể cho phép kẻ tấn công giành được quyền root trên thiết bị.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Cơ quan bảo mật của Mỹ cảnh báo về những nỗ lực khai thác lỗ hổng Log4Shell của các tác nhân đe dọa nhằm vào máy chủ VMware để xâm phạm hệ thống mục tiêu đã được phát hiện gần đây.
Tín nhiệm mạng | NSO Group đã thừa nhận với các nhà lập pháp Liên minh châu Âu rằng công cụ Pegasus của họ đã được ít nhất 5 quốc gia trong khu vực sử dụng.
Tín nhiệm mạng | Một nghiên cứu mới của các học giả tại ETH Zurich đã xác định một số vấn đề bảo mật nghiêm trọng trong dịch vụ lưu trữ cloud MEGA có thể bị lợi dụng để phá vỡ tính bảo mật và tính toàn vẹn của dữ liệu người dùng.
Tín nhiệm mạng | Hơn năm mươi lỗ hổng bảo mật đã được phát hiện trong các thiết bị của 10 nhà cung cấp OT do "các phương pháp thiết kế không an toàn".
Tín nhiệm mạng | Một lỗ hổng bảo mật trong Apple Safari đã bị khai thác vào đầu năm nay, ban đầu đã được vá vào năm 2013 và xuất hiện lại vào tháng 12 năm 2016. Lỗ hổng có thể bị khai thác để thực thi mã tùy ý.
Tín nhiệm mạng | Lỗ hổng nghiêm trọng được vá gần đây trong các sản phẩm Atlassian Confluence Server và Data Center đang bị khai thác trong các cuộc tấn công để phát tán phần mềm độc hại.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
