یک باجافزار مشکوک، از یک هدف ناشناس و یک دستگاه VoIP Mitel به عنوان نقطه ورود برای دستیابی به اجرای کد از راه دور و بدست آوردن دسترسی اولیه استفاده کرده است.
این یافتهها از سوی شرکت امنیت سایبری CrowdStrike به دست آمده است، که منبع حمله را تا یک دستگاه VoIP مبتنی بر لینوکس Mitel که در محیط شبکه قرار داشت ردیابی کرده است.
اکسپلویت مورد بحث با عنوان CVE-2022-29499 ردیابی میشود و توسط Mitel در آوریل 2022 برطرف شده است. این آسیبپذیری از نظر شدت در سیستم امتیازدهی آسیبپذیری CVSS، امتیاز 9.8 از 10 را دریافت کرده است که آن را به یک نقص مهم تبدیل میکند.
این شرکت در اطلاعیهای گفت: یک آسیبپذیری در مؤلفه Mitel Service Appliance MiVoice Connect (Mitel Service Appliances SA 100، SA 400، و Virtual SA) شناسایی شده است که میتواند به یک عامل مخرب اجازه دهد تا اجرای کد از راه دور (CVE-2022-29499) را در چارچوب Service Appliance بدست آورد.
این اکسپلویت مستلزم دو درخواست HTTP GET که برای بازیابی یک منبع خاص از یک سرور استفاده میشود است، که برای اجرای کد از راه دور با واکشی دستورات مخرب از زیرساخت کنترل شده توسط مهاجم استفاده میشود.
در حادثهای که توسط CrowdStrike بررسی شد، گفته میشود که مهاجم از این اکسپلویت برای ایجاد یک Reverse Shell استفاده کرده است و از آن نیز برای راه اندازی یک Web Shell ("pdf_import.php") بر روی دستگاه VoIP و دانلود ابزار Open Source پروکسی Chisel استفاده کرده است.
این یافتهها از سوی شرکت امنیت سایبری CrowdStrike به دست آمده است، که منبع حمله را تا یک دستگاه VoIP مبتنی بر لینوکس Mitel که در محیط شبکه قرار داشت ردیابی کرده است.
اکسپلویت مورد بحث با عنوان CVE-2022-29499 ردیابی میشود و توسط Mitel در آوریل 2022 برطرف شده است. این آسیبپذیری از نظر شدت در سیستم امتیازدهی آسیبپذیری CVSS، امتیاز 9.8 از 10 را دریافت کرده است که آن را به یک نقص مهم تبدیل میکند.
این شرکت در اطلاعیهای گفت: یک آسیبپذیری در مؤلفه Mitel Service Appliance MiVoice Connect (Mitel Service Appliances SA 100، SA 400، و Virtual SA) شناسایی شده است که میتواند به یک عامل مخرب اجازه دهد تا اجرای کد از راه دور (CVE-2022-29499) را در چارچوب Service Appliance بدست آورد.
این اکسپلویت مستلزم دو درخواست HTTP GET که برای بازیابی یک منبع خاص از یک سرور استفاده میشود است، که برای اجرای کد از راه دور با واکشی دستورات مخرب از زیرساخت کنترل شده توسط مهاجم استفاده میشود.
در حادثهای که توسط CrowdStrike بررسی شد، گفته میشود که مهاجم از این اکسپلویت برای ایجاد یک Reverse Shell استفاده کرده است و از آن نیز برای راه اندازی یک Web Shell ("pdf_import.php") بر روی دستگاه VoIP و دانلود ابزار Open Source پروکسی Chisel استفاده کرده است.