Исследователи ИБ-компании CrowdStrike обнаружили попытку кибератаки на VoIP-устройство Mitel на базе Linux в периметре сети для удаленного выполнения кода и получения начального доступа к среде. Эксперты выявили ранее неизвестную уязвимость, а также попытки злоумышленника стереть следы своих действий. Уязвимость нулевого дня CVE-2022-29499 (CVSS: 9,8) была исправлена Mitel в апреле 2022 года. «В компоненте Mitel Service Appliance MiVoice Connect (Mitel Service Appliances — SA 100, SA 400 и Virtual SA) была обнаружена уязвимость, которая позволяет злоумышленнику удаленно выполнить код (CVE-2022-29499) на устройстве», — отметила компания в отчете. Злоумышленник использовал эксплойт для создания обратной оболочки, используя ее для запуска веб-шелла «pdf_import.php» на VoIP-устройстве и загрузки прокси-инструмента Chisel с открытым исходным кодом. Затем киберпреступник переименовал исполняемый файл в « memdump » в попытке скрыться от обнаружения и использовать Chisel в качестве «обратного прокси-сервера». Однако, специалисты выявили вредоносную активность и предотвратили боковое перемещение злоумышленника по сети. По словам исследователя безопасности Кевина Бомонта , в периметре сети находится около 21 500 общедоступных устройств Mitel, большинство из которых расположены в США, Великобритании, Канаде, Франции и Австралии. Ранее были обнаружены 2 уязвимости среднего уровня опасности в настольных телефонах Mitel 6800/6900, которые позволяют злоумышленнику получить привилегии суперпользователя на устройствах . Уязвимости с оценкой CVSS 6,8 были обнаружены немецкой фирмой SySS, после чего в мае 2022 года были выпущены исправления.