IT-Connect » Actualités » Actu Cybersécurité » Ransomware Lorenz : l’accès initial exploite une faille dans le système de VOIP Mitel

Ransomware Lorenz - Mitel CVE-2022-29499
Actu Cybersécurité 

Ransomware Lorenz : l’accès initial exploite une faille dans le système de VOIP Mitel

Florian BURNEL 1160 Views Aucun commentaire , , 1 min read

Les cybercriminels derrière le ransomware Lorenz exploite une faille de sécurité critique présente dans la solution de VOIP Mitel MiVoice pour compromettre les réseaux d'entreprises. De ce fait, le système de téléphonie est utilisé pour l'accès initial à l'infrastructure cible.

Les chercheurs en sécurité de chez Arctic Wolf Labs ont remarqués que des attaques par ransomware exploitaient la faille de sécurité CVE-2022-29499 (Mitel MiVoice Connect). Bien que ces incidents ne soient pas liés à un gang de ransomware spécifique, Arctic Wolf Labs affirme que ces activités malveillantes sont très proches de celles effectuées habituellement par le gang Lorenz.

D'après eux, l'accès initial sur l'infrastructure compromise provient d'un appareil Mitel connecté au réseau et qui n'est pas protégé contre la vulnérabilité CVE-2022-29499 : "Lorenz a exploité la CVE-2022-29499, une vulnérabilité d'exécution de code à distance ayant un impact sur le composant Mitel Service Appliance de MiVoice Connect, qui permet d'obtenir un reverse shell pour utiliser ensuite Chisel comme outil de tunnellisation pour pivoter dans l'environnement.".

Les produits Mitel sont très populaires en entreprise, et on estime que actuellement, il y a au moins 19 000 appareils Mitel exposés sur Internet, y compris en France, qui peuvent être ciblés par des attaques. C'est en tout cas ce que l'on peut voir en effectuant une recherche sur Shodan. La bonne nouvelle, c'est qu'il existe un correctif officiel qui est disponible depuis juin 2022, et qui est venu remplacer un script que Mitel avait proposé au mois d'avril, en attendant le correctif.

Le gang de ransomware Lorenz est actif au moins depuis décembre 2020 et il cible des entreprises dans le monde entier, en demandant à chaque fois plusieurs centaines de milliers de dollars en rançon. Au-delà de chiffrer les données lors des attaques, ce gang a l'habitude d'exfiltrer les données également, ce qui permet d'ajouter une pression supplémentaire et d'essayer de convaincre l'entreprise de payer la rançon.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5579.Voir tous les posts

Vous pourrez aussi aimer

Inonder de notifications un iPhone avec le Flipper Zero

Avec un Flipper Zero, vous pouvez inonder un iPhone de notifications !

Florian BURNEL 0
Google Chrome - 5 extensions malveillantes - Septembre 2022

Google Chrome : 1,4 million de téléchargements pour ces 5 extensions malveillantes !

Florian BURNEL 0

GoPro : Une vulnérabilité expose les mots de passe Wi-Fi

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.