Hacker nutzen Zero-Day-Lücke in Mitel-Produkten für Ransomware-Angriffe

Der Sicherheitsanbieter CrowdStrike hat eine Zero-Day-Lücke in Produkten von Mitel entdeckt. Die Schwachstelle mit der Kennung CVE-2022-29499 wurden offenbar benutzt, um einen ersten Zugang zu einem Netzwerk zu erstellen. Obwohl der Angriff gestoppt wurde, gehen die Forscher davon aus, dass die Cyberkriminellen einen Ransomware einschleusen wollten.

Betroffen ist die linuxbasierte VoIP-Appliance MiVoice von Mitel. Die Lücke steckt in der Mitel Service Appliance von MiVoice Connect der Produkte SA 100, SA 400 und Virtual SA. Ein Angreifer kann unter Umständen im Kontext der Service Appliance Schadcode aus der Ferne einschleusen und ausführen. Auslöser ist eine unzureichende Prüfung von Daten für ein Diagnoseskript, wie BleepingComputer berichtet. Ein Angreifer ist so in der Lage, ohne vorherige Authentifizierung mithilfe speziell gestalteter Anfragen Befehle einzuschleusen.

Die Schwachstelle erlaubt es schließlich, eine Reverse Shell sowie in Folge eine Web Shell einzurichten. Darüber luden die Angreifer ein Proxy-Tool namens Chisel herunter. Es soll die Erkennung eines Angriffs erschweren, während sich die Cyberkriminellen im Netzwerk ausbreiten.

Laut CrowdStrike versuchten die Angreifer auch, ihre Spuren zu verwischen, indem sie alle auf den kompromittierten Geräten gespeicherten Daten löschten. Den Forscher gelang es jedoch, Beweise aus der TMP-Partition sowie den HTTP-Zugriffs-Logs zu sichern.

Ein offizieller Patch liegt bisher nicht vor. Seit 19. April verteilt Mitel jedoch ein Skript für MiVoice Connect Version 19.2 SP3 und früher sowie R14.x und früher, dass vor einem Angriff schützen soll.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago