banner large

Server yang menjalankan perangkat lunak Digium Phones VoiP mendapatkan backdoor

Comment
X
Share
Server yang menjalankan perangkat lunak Digium Phones VoiP mendapatkan backdoor

Gambar Getty

Server yang menjalankan perangkat lunak komunikasi Asterisk open source untuk layanan Digium VoiP diserang oleh peretas yang mengelola untuk memerintahkan mesin untuk memasang antarmuka web shell yang memberikan kendali rahasia kepada penyerang, lapor para peneliti.

Peneliti dari perusahaan keamanan Palo Alto Networks mengatakan mereka menduga para peretas mendapatkan akses ke server lokal dengan mengeksploitasi CVE-2021-45461. Cacat eksekusi kode jarak jauh yang kritis ditemukan sebagai kerentanan zero-day akhir tahun lalu, ketika dieksploitasi untuk mengeksekusi kode berbahaya pada server yang menjalankan versi Rest Phone Apps yang sepenuhnya diperbarui, alias restapps, yang merupakan paket VoiP yang dijual oleh perusahaan bernama Sangoma.

Kerentanan berada di FreePBX, perangkat lunak sumber terbuka yang paling banyak digunakan di dunia untuk sistem Pertukaran Cabang Swasta berbasis Internet, yang memungkinkan komunikasi internal dan eksternal dalam jaringan telepon internal pribadi organisasi. CVE-2021-45461 membawa peringkat keparahan 9,8 dari 10 dan memungkinkan peretas untuk mengeksekusi kode berbahaya yang mengambil kendali penuh atas server.

Sekarang, Palo Alto Networks mengatakan peretas menargetkan sistem Elastix yang digunakan di ponsel Digium, yang juga berbasis FreePBX. Dengan mengirimkan paket yang dibuat khusus ke server, pelaku ancaman dapat menginstal web shell, yang memberi mereka jendela berbasis HTTP untuk mengeluarkan perintah yang biasanya harus disediakan untuk admin yang berwenang.

“Pada tulisan ini, kami telah menyaksikan lebih dari 500.000 sampel malware unik dari keluarga ini selama periode mulai dari akhir Desember 2021 hingga akhir Maret 2022,” peneliti Palo Alto Networks Lee Wei, Yang Ji, Muhammad Umer Khan, dan Wenjun. tulis Hu. Malware memasang backdoor PHP multilayer yang dikaburkan ke sistem file server web, mengunduh muatan baru untuk dieksekusi dan menjadwalkan tugas berulang untuk menginfeksi ulang sistem host. Selain itu, malware menanamkan string sampah acak ke setiap unduhan malware dalam upaya untuk menghindari pertahanan tanda tangan berdasarkan indikator kompromi (IoCs).”

Saat pos penelitian ditayangkan, sebagian infrastruktur penyerang tetap beroperasi. Bagian-bagian itu termasuk setidaknya dua muatan berbahaya: hxxp[://]37[.]49[.]230[.]74/k[.]php dan hxxp[://]37[.]49[.]230[.]74/z/wr[.]php.

Shell web menggunakan komentar sampah acak yang dirancang untuk menghindari pertahanan berbasis tanda tangan. Untuk sembunyi-sembunyi lebih lanjut, shell dibungkus dalam beberapa lapisan pengkodean Base64. Cangkang tersebut selanjutnya dilindungi oleh “hash otentikasi MD5” yang di-hardcode, yang menurut para peneliti dipetakan secara unik ke alamat IPv4 publik korban.

“Shell web juga dapat menerima parameter admin, yang dapat berupa nilai Elastic atau Freepbx,” tambah para peneliti. “Kemudian sesi Administrator masing-masing akan dibuat.”

Siapapun yang mengoperasikan sistem VoiP berdasarkan FreePBX harus hati-hati membaca laporan dengan perhatian khusus pada indikator kompromi yang dapat membantu menentukan apakah sistem terinfeksi.

Leave a Reply

Your email address will not be published. Required fields are marked *