Los servidores que ejecutan el software VoIP de Digium Phones son pirateados a través de puertas traseras

imágenes falsas

Los servidores que ejecutan el software de comunicaciones de código abierto Asterisk para los servicios VoIP de Digium están siendo atacados por piratas informáticos que logran comandar las máquinas para instalar interfaces de shell web que brindan a los atacantes un control encubierto, informó el investigador.

Los investigadores de la empresa de seguridad Palo Alto Networks dijeron que sospechan que los piratas informáticos obtienen acceso a los servidores locales al explotar CVE-2021-45461. La falla crítica de ejecución remota de código se descubrió como una vulnerabilidad de día cero a fines del año pasado cuando se explotó para ejecutar código malicioso en servidores que ejecutan versiones completamente actualizadas de Rest Phone Apps, también conocidas como Restapps, un paquete de VoIP creado por una empresa llamada Sangoma. .

La vulnerabilidad radica en FreePBX, el software de código abierto más utilizado en el mundo para sistemas de intercambio de sucursales privadas basadas en Internet que permiten las comunicaciones internas y externas en las redes telefónicas internas privadas de las organizaciones. CVE-2021-45461 tiene una calificación de gravedad de 9,8 sobre 10 y permite a los piratas informáticos ejecutar código malicioso que toma el control total de los servidores.

Ahora Palo Alto Networks dice que los hackers están apuntando al sistema Elastix usado en los teléfonos Digium, también basado en FreePBX. Al enviar paquetes especialmente diseñados a los servidores, los atacantes pueden instalar shells web que les proporcionan una ventana de emisión de comandos basada en HTTP que normalmente debería reservarse para los administradores autorizados.

«Hasta el momento de escribir este artículo, hemos observado más de 500 000 muestras únicas de malware de esta familia durante el período comprendido entre fines de diciembre de 2021 y fines de marzo de 2022», escribieron los investigadores de Palo Alto Networks Lee Wei, Yang Ji, Muhammad Umer Khan y Wenjun Hi. «El malware instala puertas traseras PHP ofuscadas de varias capas en el sistema de archivos del servidor web, descarga nuevas cargas útiles para ejecutar y programa tareas recurrentes para volver a infectar el sistema host. Además, el malware implanta una cadena de basura aleatoria en cada descarga de malware para eludir las defensas de firma basadas en indicadores de compromiso (IoC)».

Cuando la publicación de investigación se puso en marcha, partes de la infraestructura del atacante permanecieron operativas. Estas partes contenían al menos dos cargas maliciosas: hxxp[://] 37[.] 49[.] 230[.] 74/k[.] php y hxxp[://] 37[.] 49[.] 230[.] 74/z/semana[.] php.

El shell web utiliza comentarios basura aleatorios diseñados para eludir las defensas basadas en firmas. Para mayor sigilo, el caparazón está envuelto en múltiples capas de codificación Base64. El caparazón también está protegido por un «hash de autenticación MD5» codificado de forma rígida, que los investigadores creen que se asigna de manera única a la dirección IPv4 pública de la víctima.

«El shell web también puede aceptar un parámetro de administración, que puede ser el valor Elastic o Freepbx», agregaron los investigadores. «Luego se creará la sesión de administrador correspondiente».

Cualquiera que ejecute un sistema de VoIP basado en FreePBX debe leer el informe detenidamente, prestando especial atención a los indicadores de compromiso que pueden ayudar a determinar si un sistema está infectado.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí