CrowdStrike une société en cybersécurité a découvert une tentative d’intrusion par ransomware, l’attaque prévient d’un appareil VoIP du marque Mitel basé sur Linux en utilisant un exploit inconnu auparavant.

Cet exploit de type "zero-day" est connu sous le nom de CVE-2022-29499 avec un score CVSS de 9.8, il a été corrigé par Mitel en avril 2022.

"Une vulnérabilité a été identifiée dans le composant Mitel Service Appliance de MiVoice Connect (Mitel Service Appliances - SA 100, SA 400, et Virtual SA) qui pourrait permettre à un acteur malveillant d'exécuter du code à distance (CVE-2022-29499) dans le contexte du Service Appliance", a indiqué la société dans un avis.

La faille consistait à utiliser deux requêtes HTTP GET - qui servent à récupérer une ressource spécifique sur un serveur - pour déclencher l'exécution de code à distance en récupérant des commandes malveillantes dans l'infrastructure contrôlée par l'attaquant.

Selon CrowdStrike, l'attaquant a utilisé l'exploit pour créer un reverse shell, l'utilisant pour lancer un shell web ("pdf_import.php") sur l'appareil VoIP après avoir modifié son nom à ‘memdump’, ensuite télécharger l'outil proxy open source Chisel. Cela permet a l’acteur de la menace de s’introduire davantage dans l'environnement via le dispositif VoIP.

Mitel invite ses clients à appliquer les correctifs nécessaires pour atténuer les risques possibles par cette vulnérabilité critique.