Campaña activa contra servicios VOIP

Recientemente investigadores han alertado acerca de campañas maliciosas que se enfocan en la afectación de conmutadores de telefonía IP  llamados PBX mediante la carga de webshells que permiten tomar el control de la central telefónica explotando una vulnerabilidad crítica que ha sido constantemente explotada desde diciembre de 2021 y que comparte grandes similitudes con campañas visualizadas en 2020 dirigida a Sangoma PBX

Elastix

Elastix originalmente correspondía  a un software de código abierto que debido a su éxito fue adquirido por la compañía 3CX y actualmente cuenta con gran cantidad de usuarios debido a sus prestaciones, convirtiéndose en un software popular para la administración de conmutación telefónica digital sobre internet y que además permite disminuir costos operacionales al no necesitar de un ISP para comunicaciones internas.

Estas características en conjunto al avance digital han mantenido un constante aumento de esta y otras soluciones similares, aumentando el interés de cibercriminales para hacerse con el acceso a una fuente de información muy valiosa y sensible.

Campaña

La campaña a grandes rasgos se centra específicamente en teléfonos Digium que utilizan Elastix y que mediante la carga de una webshell el atacante podría exfiltrar datos e inclusive insertar nuevas cargas útiles para profundizar el acceso mediante una vulnerabilidad de ejecución remota de código identificada bajo CVE-2021-45461

Entre las actividades analizadas por investigadores de firmas de seguridad se identifican más de 500.000 muestras de malware atacando estos productos, con una actividad que data de diciembre de 2021 y que aún continúa presente.

El malware propiamente tal instala puertas traseras escritas en PHP (lenguaje en que ha sido escrito Digium Phone) que permite descargar nuevas cargas útiles y programar tareas recurrentes para ganar persistencia re infectando el sistema vulnerado constantemente

Esta campaña ha generado mayor interés ya que tiene gran similitud con otra desplegada durante 2020 denominada “INJ3CTOR3 Operation” orientada a software FreePBX.

• CVE-2021-45461 (CVSS 9.8): FreePBX, cuando se instala restapps (también conocido como Rest Phone Apps), permite a los atacantes remotos ejecutar código arbitrario.
  • Vulnerabilidad corregida en  las versiones 15.0.20 y 16.0.19.

WebShell

Uno de los primeros pasos de infección es el despliegue de el backdoor escrito en PHP en múltiples ubicaciones del sistema, para posteriormente crear usuarios Root y programar tareas para infectar el host ganando persistencia.

Por otra parte, la web shell desplegada se encuentra protegida por autenticación mediante hash MD5

• Creación de cuentas de usuario root.
  • Nombre sugarmaint, con contraseña uenQjcP3Il/zE
  • Llamada supports, con contraseña uenQjcP3Il/zE
• Añadir una entrada de tarea programada.
  • Se ejecuta cada minuto.
  • Obtiene una copia remota del script desde hxxp[://]37[.]49[.]230[.]74/k[.]php
  • Lo ejecuta en el shell.

Entre las funciones entregadas por la web shell se identifican:

• md5 - Hash de autenticación MD5 para el inicio de sesión remoto y la interacción con el shell web.
• admin - Selecciona entre la sesión de administrador de Elastic y Freepbx.
• cmd - Ejecuta comandos arbitrarios de forma remota
• call - Iniciar una llamada desde la interfaz de línea de comandos (CLI) de Asterisk

Panorama

Debido a las prestaciones entregadas por este tipo de software es que han sido altamente aceptadas y utilizadas para soluciones principalmente empresariales, en las que con el tiempo se ha identificado la gran cantidad de información sensible capaz de capturar si se tiene acceso a esta tecnología.

Entendiendo que principalmente es utilizado para comunicaciones internas, es posible interceptar conversaciones de alta confidencialidad que permitan incluso poder continuar con un ataque de mayor envergadura o incluso que terceros realicen llamadas engañosas en nombre de la organización a colaboradores para la obtención de información crítica.

Si bien se identifica un ataque con un objetivo claro, que es la captura de la central telefónica, este podría solo ser parte de un método avanzado de reconocimiento de una red, por lo que es imperante que los propietarios de esta tecnología entiendan correctamente los alcances de una vulneración de seguridad.

Por otra parte, dada la popularidad de esta tecnología es esperable que continúe su masificación tal como ha sucedido hasta ahora.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar reglas de bloqueo para los IoC compartidos
• Implementar mecanismos de seguridad externos al sitio web como pueden ser tecnologías de seguridad perimetral como WAF o servicios de seguridad en la nube externalizados como por ejemplo CloudFlare o Imperva.
• Generar reglas de correlación específicas en sus plataformas SIEM o similares.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.