Hacker nutzen Zero-Day-Lücke in Mitel-Produkten für Ransomware-Angriffe

Der Sicherheitsanbieter CrowdStrike hat eine Zero-Day-Lücke in Produkten von Mitel entdeckt. Die Schwachstelle mit der Kennung CVE-2022-29499 wurden offenbar benutzt, um einen ersten Zugang zu einem Netzwerk zu erstellen. Obwohl der Angriff gestoppt wurde, gehen die Forscher davon aus, dass die Cyberkriminellen einen Ransomware einschleusen wollten.

Betroffen ist die linuxbasierte VoIP-Appliance MiVoice von Mitel. Die Lücke steckt in der Mitel Service Appliance von MiVoice Connect der Produkte SA 100, SA 400 und Virtual SA. Ein Angreifer kann unter Umständen im Kontext der Service Appliance Schadcode aus der Ferne einschleusen und ausführen. Auslöser ist eine unzureichende Prüfung von Daten für ein Diagnoseskript, wie BleepingComputer berichtet. Ein Angreifer ist so in der Lage, ohne vorherige Authentifizierung mithilfe speziell gestalteter Anfragen Befehle einzuschleusen.

Die Schwachstelle erlaubt es schließlich, eine Reverse Shell sowie in Folge eine Web Shell einzurichten. Darüber luden die Angreifer ein Proxy-Tool namens Chisel herunter. Es soll die Erkennung eines Angriffs erschweren, während sich die Cyberkriminellen im Netzwerk ausbreiten.

Laut CrowdStrike versuchten die Angreifer auch, ihre Spuren zu verwischen, indem sie alle auf den kompromittierten Geräten gespeicherten Daten löschten. Den Forscher gelang es jedoch, Beweise aus der TMP-Partition sowie den HTTP-Zugriffs-Logs zu sichern.

Ein offizieller Patch liegt bisher nicht vor. Seit 19. April verteilt Mitel jedoch ein Skript für MiVoice Connect Version 19.2 SP3 und früher sowie R14.x und früher, dass vor einem Angriff schützen soll.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Transformation der Rechenzentren: Frist des Energieeffizienzgesetzes endet im März

Zwischenbilanz nach 14 Monaten EnEfG: Die meisten Rechenzentren haben noch erheblichen Handlungsbedarf, sagt Gastautor Martin…

1 Tag ago

Malware-Ranking Januar: Formbook und SnakeKeylogger an der Spitze

Zum Jahresbeginn gab es in Deutschland auf dem Podium der berüchtigtsten Malware-Typen viele Veränderungen. Altbekannte…

1 Tag ago

Phishing statt Liebe: Cyber-Betrug rund um den Valentinstag

Im Januar 2025 beobachteten Sicherheitsforscher von Check Point über 18 000 neue Websites zum Thema…

2 Tagen ago

KI-Index: Jeder dritte Mittelständler setzt derzeit KI ein

KI-Lösungen befinden sich bei knapp 24 Prozent der befragten Unternehmen in Test- oder Pilotphase, 10…

2 Tagen ago

Peek & Cloppenburg Düsseldorf geht in die Oracle Cloud

Einzelhändler will mit Warenwirtschafts- und Cloud-ERP-Lösungen Produktivität steigern und Kosten senken.

2 Tagen ago

Digitale Patienten-Zwillinge: Wie weit ist die Forschung?

Im Interview erläutern Fraunhofer-Forschende, welche Antworten Zwillingsmodelle bereits liefern und was in nächster Zeit zu…

3 Tagen ago