CVE-2022-29499 Mitel MiVoice Connect in K.E.V. Catalog #3

Mitel zero-day used by hackers in suspected ransomware attack (BleepingComputer 06/24)

The exploit involves two GET requests, one sent to the device targeting a “get_url” parameter of a PHP file and the second generated on the device itself, causing a command injection that performs HTTP GET requests to the attacker’s infrastructure.

エクスプロイトには２つのGETリクエストが含まれます。1つはPHPファイルの「get_url」パラメータをターゲットとしてデバイスに送信されます。もう1つはデバイス自体で生成され、攻撃者のインフラストラクチャにHTTP GETリクエストを実行するコマンドインジェクションを引き起こします。

 

The threat actors used the vulnerability to create a reverse shell by leveraging FIFO pipes on the targeted Mitel device, sending outbound requests from within the compromised network.

脅威者は、この脆弱性を利用して、標的となるMitelデバイスのFIFOパイプを活用することでリバースシェルを作成し、侵害されたネットワーク内からアウトバウンドリクエストを送信しました。

 

With the reverse shell established, the intruder created a web shell (pdf_import.php) and downloaded a reverse proxy tool called “Chisel,” to reduce the chances of detection while moving laterally in the network.

リバースシェルを確立した侵入者は、ウェブシェル（pdf_import.php）を作成し、「Chisel」というリバースプロキシツールをダウンロードして、ネットワーク内で横方向に移動しながら検出される可能性を低くしました。

 

Crowdstrike also mentions anti-forensic efforts from the threat actor, who attempted to delete all files in the compromised devices using the "dd" overwrite command. However, the analysts could retrieve evidence from the /tmp partition and recover HTTP access logs.

また、クラウドストライクは、脅威者が「dd」上書きコマンドを使用して、侵害されたデバイスのすべてのファイルを削除しようとしたアンチフォレンジックの取り組みについても言及しています。しかし、アナリストは、/tmp パーティションから証拠を取得し、HTTP アクセスログを復元することができました。

 

While no official patch has been released, Mitel addressed it on April 19, 2022, by releasing a remediation script for MiVoice Connect versions 19.2 SP3 and earlier and R14.x and earlier.

正式なパッチはリリースされていないが、Mitelは2022年4月19日、MiVoice Connectバージョン19.2 SP3以前およびR14.x以前向けの修復スクリプトを公開し、これに対処している。

 

According to security researcher Kevin Beaumont, there are over 21,000 publicly accessible Mitel devices online, with the majority located in the United States, followed by the United Kingdom.

セキュリティ研究者のKevin Beaumont氏によると、一般にアクセス可能なMitelのデバイスはオンラインで2万1000台以上あり、その大半は米国にあり、次いで英国にあるとのことです。

●研究者、ビューモント氏の同デバイス稼働地域調査のtweet

BleepingComputer has contacted CrowdStrike asking why they believe it was a ransomware attack and will update this article with their response.

BleepingComputerはCrowdStrikeに、なぜこの攻撃がランサムウェア攻撃であると考えるかについて問い合わせ、その回答とともにこの記事を更新する予定です。

overview of cve-2022-29499 (avertium)

The attacker attempted to go undetected by performing anti-forensic techniques on the VoIP appliance - renaming the binary to “memdump”. The device that was observed by Crowdstrike was a Linux-based Mitel VoIP appliance sitting on the network perimeter, where EDR software for the device was highly limited. 

攻撃者は、VoIPアプライアンスに対してアンチフォレンジック技術を実行し、バイナリを「memdump」にリネームすることで検知されないようにしようとしました。クラウドストライクが観測したデバイスは、LinuxベースのMitel VoIPアプライアンスで、ネットワークの境界に置かれており、デバイス用のEDRソフトウェアは非常に制限されていました。

※、EDRで「アクセスを厳密に制限していた」とは書かれていない。EDRは導入していない機器が多かったという事か?と思ってしまった。これは一次情報のクラウドストライク記事を読むと「アベイラブル」という言葉が使われていて、「同様環境で動作可能な対策ソフトは入手も稼働も困難である」と分かる。悩んだ時は一次情報を見よう。