Los atacantes de ransomware están abusando de las fallas en el software VoIP para violar las organizaciones y lograr el acceso inicial, advierten los investigadores.
Expertos en ciberseguridad de Arctic Wolf Labs advierten sobre CVE-2022-29499, una vulnerabilidad de ejecución remota de código encontrada en Mitel MiVoice VOIP (se abre en una pestaña nueva) dispositivos, siendo utilizados por el actor de amenazas Lorenz para atacar a ciertas empresas.
Los investigadores no nombraron a ninguna empresa específica como objetivo, pero explicaron: «La actividad maliciosa inicial se originó en un dispositivo Mitel ubicado en el perímetro de la red», explican. «Lorenz explotó CVE-2022-29499, una vulnerabilidad de ejecución remota de código que afecta el componente Mitel Service Appliance de MiVoice Connect, para obtener un shell inverso y, posteriormente, usó Chisel como herramienta de tunelización para pivotar en el entorno».
Problemas parcheados
Si los piratas informáticos están buscando productos Mitel VoIP vulnerables, aparentemente tienen muchas empresas para elegir, con los dispositivos utilizados por organizaciones en sectores críticos en todo el mundo.
Mitel emitió un parche para esta vulnerabilidad a principios de junio de 2022, lo que significa que los actores de amenazas ahora están detrás de aquellas empresas que no son tan diligentes cuando se trata de mantener sus sistemas actualizados.
Si Lorenz viola con éxito una red de destino, intentará instalar el ransomware BitLocker (se abre en una pestaña nueva) en los puntos finales afectados, advirtieron además los investigadores.
Para mantenerse a salvo, recomiendan que las empresas actualicen a MiVoice Connect versión R19.3, analicen dispositivos externos y aplicaciones web, no expongan activos críticos directamente a Internet, configuren el registro de PowerShell, configuren el registro fuera del sitio, establezcan copias de seguridad y prueben sus Es mejor limitar el radio de explosión de los posibles ataques.
Lorenz se conocía anteriormente como ThunderCrypt, confirmaron los investigadores, y también dijeron que ha estado activo desde al menos diciembre de 2020. Por lo general, persiguen objetivos de alto perfil, y sus demandas de rescate son de cientos de miles de dólares.
Vía: BleepingComputer (se abre en una pestaña nueva)