Hacker nutzen Zero-Day-Lücke in Mitel-Produkten für Ransomware-Angriffe

Der Sicherheitsanbieter CrowdStrike hat eine Zero-Day-Lücke in Produkten von Mitel entdeckt. Die Schwachstelle mit der Kennung CVE-2022-29499 wurden offenbar benutzt, um einen ersten Zugang zu einem Netzwerk zu erstellen. Obwohl der Angriff gestoppt wurde, gehen die Forscher davon aus, dass die Cyberkriminellen einen Ransomware einschleusen wollten.

Betroffen ist die linuxbasierte VoIP-Appliance MiVoice von Mitel. Die Lücke steckt in der Mitel Service Appliance von MiVoice Connect der Produkte SA 100, SA 400 und Virtual SA. Ein Angreifer kann unter Umständen im Kontext der Service Appliance Schadcode aus der Ferne einschleusen und ausführen. Auslöser ist eine unzureichende Prüfung von Daten für ein Diagnoseskript, wie BleepingComputer berichtet. Ein Angreifer ist so in der Lage, ohne vorherige Authentifizierung mithilfe speziell gestalteter Anfragen Befehle einzuschleusen.

Die Schwachstelle erlaubt es schließlich, eine Reverse Shell sowie in Folge eine Web Shell einzurichten. Darüber luden die Angreifer ein Proxy-Tool namens Chisel herunter. Es soll die Erkennung eines Angriffs erschweren, während sich die Cyberkriminellen im Netzwerk ausbreiten.

Laut CrowdStrike versuchten die Angreifer auch, ihre Spuren zu verwischen, indem sie alle auf den kompromittierten Geräten gespeicherten Daten löschten. Den Forscher gelang es jedoch, Beweise aus der TMP-Partition sowie den HTTP-Zugriffs-Logs zu sichern.

Ein offizieller Patch liegt bisher nicht vor. Seit 19. April verteilt Mitel jedoch ein Skript für MiVoice Connect Version 19.2 SP3 und früher sowie R14.x und früher, dass vor einem Angriff schützen soll.