Ransomware Lorenz : l’accès initial exploite une faille dans le système de VOIP Mitel

Les cybercriminels derrière le ransomware Lorenz exploite une faille de sécurité critique présente dans la solution de VOIP Mitel MiVoice pour compromettre les réseaux d'entreprises. De ce fait, le système de téléphonie est utilisé pour l'accès initial à l'infrastructure cible.

Les chercheurs en sécurité de chez Arctic Wolf Labs ont remarqués que des attaques par ransomware exploitaient la faille de sécurité CVE-2022-29499 (Mitel MiVoice Connect). Bien que ces incidents ne soient pas liés à un gang de ransomware spécifique, Arctic Wolf Labs affirme que ces activités malveillantes sont très proches de celles effectuées habituellement par le gang Lorenz.

D'après eux, l'accès initial sur l'infrastructure compromise provient d'un appareil Mitel connecté au réseau et qui n'est pas protégé contre la vulnérabilité CVE-2022-29499 : "Lorenz a exploité la CVE-2022-29499, une vulnérabilité d'exécution de code à distance ayant un impact sur le composant Mitel Service Appliance de MiVoice Connect, qui permet d'obtenir un reverse shell pour utiliser ensuite Chisel comme outil de tunnellisation pour pivoter dans l'environnement.".

Les produits Mitel sont très populaires en entreprise, et on estime que actuellement, il y a au moins 19 000 appareils Mitel exposés sur Internet, y compris en France, qui peuvent être ciblés par des attaques. C'est en tout cas ce que l'on peut voir en effectuant une recherche sur Shodan. La bonne nouvelle, c'est qu'il existe un correctif officiel qui est disponible depuis juin 2022, et qui est venu remplacer un script que Mitel avait proposé au mois d'avril, en attendant le correctif.

Le gang de ransomware Lorenz est actif au moins depuis décembre 2020 et il cible des entreprises dans le monde entier, en demandant à chaque fois plusieurs centaines de milliers de dollars en rançon. Au-delà de chiffrer les données lors des attaques, ce gang a l'habitude d'exfiltrer les données également, ce qui permet d'ajouter une pression supplémentaire et d'essayer de convaincre l'entreprise de payer la rançon.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4075 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.