VoIP de Elastix, víctima de nuevo malware
Múltiples actores de amenazas han intentado desplegar miles de variantes de malware
Varios actores de amenazas diferentes han atacado servidores de telefonía VoIP pertenecientes a Elastix con más de 500.000 muestras de malware diferentes entre diciembre de 2021 y marzo de 2022, han afirmado los investigadores.
Elastix es un software de servidor de comunicaciones unificadas que reúne PBX IP, correo electrónico, mensajería instantánea, fax y herramientas de colaboración.
Los investigadores especulan que los atacantes explotaron la CVE-2021-45461, una vulnerabilidad de alta gravedad (9.8) que permite la ejecución remota de código. Su objetivo era configurar un shell web PHP que les permitiera ejecutar código arbitrario en los puntos finales comprometidos.
Integrarse en el entorno
Los expertos de la Unidad 42 de Palo Alto Networks, que fueron los primeros en detectar la campaña, señalaron que dos grupos de ataque distintos, que utilizaron diferentes métodos para explotar los fallos, intentaron desplegar un script de shell en miniatura, que instala una puerta trasera PHP y da a los atacantes acceso de root.
«Este dropper también intenta integrarse en el entorno existente falseando la marca de tiempo del archivo backdoor PHP instalado con la de un archivo conocido que ya está en el sistema», señalaron los investigadores.
Las direcciones IP de los grupos están en los Países Bajos, se explicó además, pero los datos DNS apuntan a sitios rusos para adultos. La infraestructura de entrega de la carga útil sólo está parcialmente activa, por el momento.
Los investigadores concluyeron que la campaña sigue en curso.
Dependiendo del objetivo de la campaña, los servidores de la empresa son a veces un objetivo de mayor valor que los ordenadores, portátiles u otros puntos finales de la empresa. Los servidores suelen ser dispositivos más potentes y pueden utilizarse, por ejemplo, como parte de una potente red de bots que realiza miles de peticiones por segundo.
Los servidores también pueden utilizarse para desplegar software de minería de criptomonedas, obteniendo valiosas criptomonedas para sus atacantes. Y, por último, si los servidores son compartidos (por ejemplo, en un entorno de nube), una posible violación de datos podría comprometer a varias empresas a la vez, y a todos sus clientes, combinados.
Fuente: Techradar.pro