Getty Images
Serveurs exécutant le logiciel de communication open source Asterisk pour Services Digium VoIP sont attaqués par des pirates qui parviennent à réquisitionner les machines pour installer des interfaces Web Shell qui donnent aux attaquants un contrôle secret, ont rapporté des chercheurs.
Des chercheurs de la société de sécurité Palo Alto Networks a dit ils soupçonnent que les pirates accèdent aux serveurs sur site en exploitant CVE-2021-45461. La faille critique d’exécution de code à distance a été découverte comme une vulnérabilité zero-day à la fin de l’année dernière, lorsqu’elle était exploitée pour exécuter du code malveillant sur des serveurs exécutant versions entièrement mises à jour des applications Rest Phonealias restapps, qui est un package VoiP vendu par une société appelée Sangoma.
La vulnérabilité réside dans FreePBX, le logiciel open source le plus largement utilisé au monde pour les systèmes d’autocommutateurs privés basés sur Internet, qui permet les communications internes et externes dans les réseaux téléphoniques internes privés des organisations. CVE-2021-45461 porte un indice de gravité de 9,8 sur 10 et permet aux pirates d’exécuter un code malveillant qui prend le contrôle total des serveurs.
Maintenant, Palo Alto Networks a déclaré que les pirates ciblaient le Élastix système utilisé dans les téléphones Digium, qui est également basé sur FreePBX. En envoyant aux serveurs des paquets spécialement conçus, les acteurs de la menace peuvent installer des shells Web, qui leur donnent une fenêtre basée sur HTTP pour émettre des commandes qui devraient normalement être réservées aux administrateurs autorisés.
“Au moment d’écrire ces lignes, nous avons été témoins de plus de 500 000 échantillons de logiciels malveillants uniques de cette famille sur la période allant de fin décembre 2021 à fin mars 2022”, ont déclaré les chercheurs de Palo Alto Networks Lee Wei, Yang Ji, Muhammad Umer Khan et Wenjun. Hu a écrit. “Le logiciel malveillant installe des portes dérobées PHP multicouches obscurcies sur le système de fichiers du serveur Web, télécharge de nouvelles charges utiles pour l’exécution et planifie des tâches récurrentes pour réinfecter le système hôte. De plus, le logiciel malveillant implante une chaîne indésirable aléatoire à chaque téléchargement de logiciel malveillant dans le but d’échapper défenses de signature basées sur des indicateurs de compromission (IoC).”
Lorsque le poste de recherche a été mis en service, certaines parties de l’infrastructure de l’attaquant sont restées opérationnelles. Ces parties comprenaient au moins deux charges utiles malveillantes : hxxp[://]37[.]49[.]230[.]74/k[.]php et hxxp[://]37[.]49[.]230[.]74/z/wr[.]php.
Le shell Web utilise des commentaires indésirables aléatoires conçus pour échapper aux défenses basées sur les signatures. Pour plus de discrétion, le shell est enveloppé dans plusieurs couches d’encodage Base64. Le shell est en outre protégé par un “hachage d’authentification MD5” codé en dur, qui, selon les chercheurs, est mappé de manière unique sur l’adresse IPv4 publique de la victime.
“Le shell Web est également capable d’accepter un paramètre d’administration, qui peut être la valeur Elastic ou Freepbx”, ont ajouté les chercheurs. “Ensuite, la session administrateur respective sera créée.”
Toute personne exploitant un système VoiP basé sur FreePBX doit lire attentivement le rapport en accordant une attention particulière aux indicateurs de compromission qui peuvent aider à déterminer si un système est infecté.
