Plusieurs acteurs de la menace différents ont attaqué des serveurs de téléphonie VoIP (ouvre dans un nouvel onglet) appartenant à Elastix avec plus de 500,000 2021 échantillons de logiciels malveillants différents (ouvre dans un nouvel onglet) entre décembre 2022 et mars XNUMX, selon les chercheurs.
Elastix est un logiciel de serveur de communications unifiées qui regroupe des outils pour le PBX IP, le courrier électronique, la messagerie instantanée, le fax et la collaboration.
Les chercheurs supposent que les attaquants ont exploité CVE-2021-45461, une vulnérabilité de gravité élevée (9.8) qui permet l'exécution de code à distance. Leur objectif était de mettre en œuvre un shell Web PHP qui leur permettrait d'exécuter du code arbitraire sur des terminaux compromis.
Se fondre dans l'environnement
Les experts de l'unité 42 de Palo Alto Networks qui ont vu la campagne pour la première fois ont déclaré que deux groupes d'attaque distincts, utilisant différentes méthodes pour exploiter les failles, ont tenté d'implémenter un script shell miniature, qui installe une porte dérobée PHP et donne aux attaquants un accès root.
"Ce compte-gouttes tente également de se fondre dans l'environnement existant en usurpant l'horodatage du fichier de porte dérobée PHP installé avec celui d'un fichier connu déjà sur le système", ont noté les chercheurs.
Les adresses IP des groupes se trouvent aux Pays-Bas, a-t-on expliqué plus en détail, mais les données DNS pointent vers des sites russes pour adultes. L'infrastructure de livraison de la charge utile n'est actuellement que partiellement active.
La campagne est toujours en cours, ont conclu les chercheurs.
Selon l'objectif de la campagne, les serveurs d'entreprise sont parfois une cible de plus grande valeur que les ordinateurs d'entreprise, les ordinateurs portables ou d'autres terminaux. Les serveurs sont souvent des appareils plus puissants et peuvent être utilisés, par exemple, dans le cadre d'un puissant botnet qui envoie des milliers de requêtes par seconde.
Les serveurs peuvent également être utilisés pour implémenter un logiciel de cryptominage, obtenant une crypto-monnaie précieuse pour vos attaquants. Et enfin, si les serveurs sont partagés (par exemple, dans un environnement cloud), une éventuelle violation de données pourrait compromettre plusieurs entreprises à la fois et tous leurs clients ensemble.
Via : BleepingComputer (Ouvre dans un nouvel onglet)