Mitel Zero-day ถูกนำไปใช้โดยแฮกเกอร์สำหรับการโจมตีด้วยแรนซัมแวร์

วันที่รายงาน : 27 มิ.ย. 65 [TLP: WHITE]
เรื่อง : Mitel Zero-day ถูกนำไปใช้โดยแฮกเกอร์สำหรับการโจมตีด้วยแรนซัมแวร์
แหล่งข่าว : https://www.bleepingcomputer.com/news/security/mitel-zero-day-used-by-hackers-in-suspected-ransomware-attack/
วันที่แหล่งข่าวเผยแพร่ : 24 มิ.ย. 65

สาระสำคัญ : แฮกเกอร์ใช้ช่องโหว่แบบ Zero-day บนอุปกรณ์ Mitel MiVoice VOIP ที่ใช้ Linux สำหรับการเข้าถึงครั้งแรก ซึ่งเป็นจุดเริ่มต้นของการโจมตีแรนซัมแวร์ บนอุปกรณ์ Mitel VOIP ถูกใช้โดยองค์กรที่สำคัญในภาคส่วนต่างๆ สำหรับบริการโทรศัพท์ และได้เพิ่งถูกโจมตีไป

บริษัท CrowdStrike กล่าวว่าถึงช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลแบบ zero-day ที่หมายเลข CVE-2022-29499 (คะแนน CVSS v3 : 9.8) ถูกนำมาใช้เพื่อเข้าถึงเครือข่ายในเบื้องต้น แม้ว่าการโจมตีจะหยุดลงแต่ CrowdStrike เชื่อว่า Zero-day จะถูกใช้เป็นส่วนหนึ่งของการโจมตีแรนซัมแวร์ ซึ่งช่องโหว่ Mitel Service Appliance ของ MiVoice Connect ซึ่งใช้ใน SA 100, SA 400 และ Virtual SA ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกล (RCE) และปัญหาเกิดจากการตรวจสอบข้อมูลไม่เพียงพอสำหรับสคริปต์ ทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถสั่งงานโดยใช้คำขอที่ออกแบบมาเป็นพิเศษ

ช่องโหว่เกี่ยวข้องกับคำขอ GET สองคำขอ คำขอแรกส่งไปยังอุปกรณ์ที่กำหนดเป้าหมายพารามิเตอร์ “get_url” ของไฟล์ PHP และคำขอที่สองสร้างขึ้นในอุปกรณ์เอง ทำให้เกิดการ injection คำสั่งที่ดำเนินการร้องขอ HTTP GET ไปยังโครงสร้างพื้นฐาน และผู้โจมตีได้ใช้ประโยชน์จากไพพ์ FIFO บนอุปกรณ์ Mitel ที่เป็นเป้าหมาย ในการส่งคำขอออกมาจากภายในเครือข่ายที่ถูกโจมตี เมื่อสร้าง reverse shell ผู้โจมตีสร้างเว็บเชลล์ (pdf_import.php) และดาวน์โหลดเครื่องมือ reverse proxy ที่เรียกว่า “Chisel” เพื่อลดโอกาสในการตรวจจับได้เมื่อเข้าไปภายในเครือข่าย

นักวิจัยด้านความปลอดภัย Kevin Beaumont กล่าวว่า มีอุปกรณ์ Mitel ที่เข้าถึงได้ทั่วไปทางออนไลน์มากกว่า 21,000 เครื่อง โดยส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา รองลงมาคือสหราชอาณาจักร เชื่อว่าการโจมตีของแรนซัมแวร์อย่างน้อยหนึ่งครั้งจะใช้ประโยชน์จากช่องโหว่นี้ และมีแนวโน้มที่จะตามมาในไม่ช้า แนะนำให้ผู้ดูแลระบบป้องกันถึงผลกระทบโดยเร็ว

NCERT Infoshare beta version (ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ ศปช.) สกมช.

Loading

Related Posts

กลุ่ม Witchetty APT ใช้ Steganography ในการโจมตีหน่วยงานในตะวันออกกลาง

ทีม Symantec Threat Hunter ของ Broadcom ได้สังเกตเห็นกลุ่มจารกรรมทางไซเบอร์ชื่อ Witchetty ใช้ Steganography เพื่อซ่อนแบ็คดอร์ที่ไม่มีเอกสารในโลโก้ Windows โดยกลุ่มนี้ใช้แบ็คดอร์ในการโจมตีรัฐบาลตะวันออกกลาง

Read more

CISA ออกคำแนะนำในการเปลี่ยนไปใช้ TLP 2.0

Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คู่มือผู้ใช้เพื่อช่วยองค์กรในการเตรียมตัวสำหรับวันที่ 1 พฤศจิกายน 2022 โดยเปลี่ยนจาก Traffic Light Protocol (TLP) เวอร์ชัน 1.0 เป็น TLP 2.0

Read more

ยูเครนจับกุมกลุ่มอาชญากรไซเบอร์เพื่อขายข้อมูลกว่า 30 ล้านบัญชี

หน่วยงานบังคับใช้กฎหมายของยูเครนเปิดเผยว่าได้จับกุมกลุ่มแฮ็คที่ปฏิบัติการจากเมืองลวิฟ โดยได้รับการสนับสนุนจากรัสเซีย ซึ่งกลุ่มนี้ได้ทำการขายบัญชีกว่า 30 ล้านบัญชีที่เป็นของพลเมืองยูเครนและสหภาพยุโรปบน dark web ซึ่งทำกำไรได้ 372,000 ดอลลาร์ (14 ล้าน UAH) โดยผ่านระบบการชำระเงินทางอิเล็กทรอนิกส์ เช่น YooMoney, Qiwi และ WebMoney ที่ผิดกฎหมายในประเทศ

Read more

Erbium มัลแวร์ตัวใหม่ สามารถขโมยรหัสผ่าน ที่แพร่กระจายไปกับโปรแกรมแคร็กเกม

มัลแวร์ใหม่ที่ขโมยข้อมูล ‘Erbium’ กำลังถูกแพร่กระจายไปกับโปรแกรมการโกงสำหรับวิดีโอเกมยอดนิยม เพื่อใช้ขโมยข้อมูลประจำตัวของเหยื่อและ cryptocurrency wallets

Read more

Sophos ออกแพตซ์แก้ไขช่องโหว่ RCE Zero-Day ในไฟร์วอลล์

บริษัทซอฟต์แวร์รักษาความปลอดภัย Sophos ได้ออกแพตช์อัปเดตไฟร์วอลล์ของบริษัท หลังจากที่พบว่าผู้โจมตีใช้ช่องโหว่ Zero-Day อันใหม่นี้เพื่อโจมตีเครือข่ายของลูกค้า ที่หมายเลขช่องโหว่ CVE-2022-3236 (คะแนน CVSS: 9.8) ส่งผลกระทบต่อ Sophos Firewall v19.0 MR1 (19.0.1) และเวอร์ชั่นที่เก่ากว่า ซึ่งช่องโหว่ดังกล่าวเป็นการแทรกโค้ดในพอร์ทัลผู้ใช้งานและส่วนประกอบ Webadmin ที่อาจส่งผลให้เกิดโค้ดจากระยะไกลได้

Read more

OpIran : กลุ่ม Anonymous ประกาศสงครามกับรัฐบาลอิหร่าน จากสาเหตุการเสียชีวิตของ Mahsa Amini

กลุ่มแฮ็กเกอร์ Anonymous เปิดตัวปฏิบัติการ Operation Iran กับ รัฐบาลอิหร่าน เนื่องมาจากการปราบปรามผู้ประท้วงที่เกิดขึ้นอย่างต่อเนื่อง หลังจากการเสียชีวิตของหญิงสาวชาวอิหร่านที่ชื่อ Mahsa Amini

Read more