Un certain nombre d’acteurs malveillants différents ont attaqué la VoIP (s’ouvre dans un nouvel onglet) serveurs de téléphonie appartenant à Elastix avec plus de 500 000 logiciels malveillants différents (s’ouvre dans un nouvel onglet) échantillons entre décembre 2021 et mars 2022, ont affirmé des chercheurs.
Elastix est un logiciel de serveur de communications unifiées, réunissant des outils de PBX IP, de messagerie électronique, de messagerie instantanée, de télécopie et de collaboration.
Les chercheurs supposent que les attaquants ont exploité CVE-2021-45461, une vulnérabilité de haute gravité (9.8) qui permet l’exécution de code à distance. Leur objectif était de mettre en place un shell Web PHP qui leur permettrait d’exécuter du code arbitraire sur les terminaux compromis.
Se fondre dans l’environnement
Les experts de l’unité 42 de Palo Alto Networks qui ont repéré la campagne pour la première fois ont déclaré que deux groupes d’attaque distincts, utilisant différentes méthodes pour exploiter les failles, ont tenté de déployer un script shell miniature, qui installe une porte dérobée PHP et donne aux attaquants un accès root.
« Ce compte-gouttes essaie également de se fondre dans l’environnement existant en usurpant l’horodatage du fichier de porte dérobée PHP installé à celui d’un fichier connu déjà sur le système », ont noté les chercheurs.
Les adresses IP des groupes se trouvent aux Pays-Bas, a-t-on expliqué plus en détail, mais les données DNS pointent vers des sites russes pour adultes. L’infrastructure de livraison de charge utile n’est que partiellement active, pour le moment.
La campagne est toujours en cours, ont conclu les chercheurs.
Selon l’objectif de la campagne, les serveurs d’entreprise sont parfois une cible de plus grande valeur que les ordinateurs, les ordinateurs portables ou d’autres terminaux de l’entreprise. Les serveurs sont généralement des appareils plus puissants et peuvent être utilisés, par exemple, dans le cadre d’un puissant botnet délivrant des milliers de requêtes par seconde.
Les serveurs peuvent également être utilisés pour déployer des logiciels de cryptomining, gagnant des crypto-monnaies précieuses pour leurs attaquants. Et enfin, si les serveurs sont partagés (par exemple, dans un environnement cloud), une éventuelle violation de données pourrait compromettre plusieurs entreprises à la fois, et tous leurs clients combinés.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)