در تازهترین خبرها مشخص شده که تلاش برای حمله باج افزاری از طریق سیستم های تلفنی VoIP رخ داده است. یافتهها توسط شرکت امنیت سایبری CrowdStrike منتشر شده که نشان میدهد مهاجم برای دسترسی به شبکه از یک دستگاه VoIP مبتنی بر لینوکس کمپانی Mitel استفاده کرده است و او همچنین از Exploit های ناشناخته استفاده کرده و تلاش داشته ردپای آثار خود را نیز پاک کند.
آسیبپذیری Zero-Day مورد بحث CVE-2022-29499 است و توسط شرکت سازنده سیستم VoIP کمپانی Mitel در ماه گذشته برطرف شد، این مشکل از نظر حاد بودن نمرهی 9.8 از 10 را گرفته است که آن را به یک نقص امنیتی مهم تبدیل میکند. اکسپلویت هکر برای استفاده دو درخواست HTTP GET که برای دریافت منابع از سرور است را استفاده کرده تا بتواند اجرای کدهای مخرب را با fetch کردن از سرورهای خود انجام دهد. این حادثه توسط CrowdStrike بررسی شده و به نظر میرسد که هکر از روش بالا برای راهاندازی reverse shell و در نهایت web shell بر روی دستگاه VoIP استفاده کرده تا بتواند پراکسی اپن سورس Chisel را که برای دور زدن فایروال و ایجاد reverse proxy استفاده میشود را دانلود کند.
پس از آن فایل باینری پراکسی Chisel را به memdump تغییر نام میدهد که یک اسمی رایج برای فایلهای Debugging مموری است و سپس آن را اجرا میکند و او در این مرحله با استفاده از reverse proxy که ایجاد کرده سعی کرده فعالیت خود را پنهان کند که تیم امنیتی متوجه فعالیت مخرب شدند و جلوی آن را گرفتند. این حمله تقریبا پس از گذشت دو هفته از تاریخ برملای دو آسیبپذیری در مدلهای تلفنهای Mitel 6800 و 6900 توسط شرکت آلمانی تست نفوذ SySS انجام شد و اگر هکر موفق میشد، میتوانست دسترسی روت به دستگاهها داشته باشد.
محققین امنیتی CrowdStrike اذعان کردند که آپدیت و پچ کردن دستگاهها خصوصا در زمان فاش شدن یک آسیبپذیری در آنها مهم است و perimeter device که معمولا دستگاههای جانبی در شبکه هستند باید تا جای ممکن از دستگاههای مهم با منابع اطلاعاتی و عملکردی حساس ایزوله شوند. در واقع اگر یک مهاجم توانست به سیستم تلفنهای VoIP یک شرکت دسترسی یابد اصولا نباید قادر باشد که از طریق این دستگاهها به وب سرور و دارایی های حیاتی کمپانی مورد نظر نفوذ کند و از آنها برای حمله باج افزاری استفاده کند.
دیدگاهتان را بنویسید