Sistemas Elastix VoIP apuntados por campaña masiva de malware

Sistemas Elastix VoIP apuntados por campaña masiva de malware

Varios actores de amenazas diferentes atacaron los servidores de telefonía VoIP (se abre en una nueva pestaña) propiedad de Elastix con más de 500,000 muestras de malware diferentes (se abre en una nueva pestaña) entre diciembre de 2021 y marzo de 2022, dicen los investigadores.

Elastix es un software de servidor de comunicaciones unificadas que reúne herramientas para IP PBX, correo electrónico, mensajería instantánea, fax y colaboración.

Los investigadores suponen que los atacantes explotaron CVE-2021-45461, una vulnerabilidad de alta gravedad (9.8) que permite la ejecución remota de código. Su objetivo era implementar un shell web de PHP que les permitiera ejecutar código arbitrario en puntos finales comprometidos.

Mezclarse con el entorno

Los expertos de la Unidad 42 de Palo Alto Networks que vieron por primera vez la campaña dijeron que dos grupos de ataque separados, utilizando diferentes métodos para explotar las fallas, intentaron implementar un script de shell en miniatura, que instala una puerta trasera PHP y les da a los atacantes acceso raíz.

"Este cuentagotas también intenta mezclarse con el entorno existente falsificando la marca de tiempo del archivo de puerta trasera de PHP instalado con la de un archivo conocido que ya está en el sistema", señalaron los investigadores.

Las direcciones IP de los grupos están en los Países Bajos, se explicó con más detalle, pero los datos de DNS apuntan a sitios para adultos rusos. La infraestructura de entrega de carga útil solo está parcialmente activa, en este momento.

La campaña aún está en curso, concluyeron los investigadores.

Dependiendo del objetivo de la campaña, los servidores corporativos a veces son un objetivo de mayor valor que las computadoras, portátiles u otros puntos finales corporativos. Los servidores suelen ser dispositivos más potentes y se pueden utilizar, por ejemplo, como parte de una potente red de bots que envía miles de solicitudes por segundo.

Los servidores también se pueden usar para implementar software de criptominería, obteniendo valiosas criptomonedas para sus atacantes. Y, por último, si los servidores son compartidos (por ejemplo, en un entorno de nube), una posible filtración de datos podría comprometer a varias empresas a la vez y a todos sus clientes juntos.

Через: BleepingComputer (открывается в новой вкладке)