Recientemente investigadores han alertado acerca de campañas maliciosas que se enfocan en la afectación de conmutadores de telefonía IP llamados PBX mediante la carga de webshells que permiten tomar el control de la central telefónica explotando una vulnerabilidad crítica que ha sido constantemente explotada desde diciembre de 2021 y que comparte grandes similitudes con campañas visualizadas en 2020 dirigida a Sangoma PBX
Elastix
Elastix originalmente correspondía a un software de código abierto que debido a su éxito fue adquirido por la compañía 3CX y actualmente cuenta con gran cantidad de usuarios debido a sus prestaciones, convirtiéndose en un software popular para la administración de conmutación telefónica digital sobre internet y que además permite disminuir costos operacionales al no necesitar de un ISP para comunicaciones internas.
Estas características en conjunto al avance digital han mantenido un constante aumento de esta y otras soluciones similares, aumentando el interés de cibercriminales para hacerse con el acceso a una fuente de información muy valiosa y sensible.
Campaña
La campaña a grandes rasgos se centra específicamente en teléfonos Digium que utilizan Elastix y que mediante la carga de una webshell el atacante podría exfiltrar datos e inclusive insertar nuevas cargas útiles para profundizar el acceso mediante una vulnerabilidad de ejecución remota de código identificada bajo CVE-2021-45461
Entre las actividades analizadas por investigadores de firmas de seguridad se identifican más de 500.000 muestras de malware atacando estos productos, con una actividad que data de diciembre de 2021 y que aún continúa presente.
El malware propiamente tal instala puertas traseras escritas en PHP (lenguaje en que ha sido escrito Digium Phone) que permite descargar nuevas cargas útiles y programar tareas recurrentes para ganar persistencia re infectando el sistema vulnerado constantemente
Esta campaña ha generado mayor interés ya que tiene gran similitud con otra desplegada durante 2020 denominada “INJ3CTOR3 Operation” orientada a software FreePBX.
WebShell
Uno de los primeros pasos de infección es el despliegue de el backdoor escrito en PHP en múltiples ubicaciones del sistema, para posteriormente crear usuarios Root y programar tareas para infectar el host ganando persistencia.
Por otra parte, la web shell desplegada se encuentra protegida por autenticación mediante hash MD5
Entre las funciones entregadas por la web shell se identifican:
Panorama
Debido a las prestaciones entregadas por este tipo de software es que han sido altamente aceptadas y utilizadas para soluciones principalmente empresariales, en las que con el tiempo se ha identificado la gran cantidad de información sensible capaz de capturar si se tiene acceso a esta tecnología.
Entendiendo que principalmente es utilizado para comunicaciones internas, es posible interceptar conversaciones de alta confidencialidad que permitan incluso poder continuar con un ataque de mayor envergadura o incluso que terceros realicen llamadas engañosas en nombre de la organización a colaboradores para la obtención de información crítica.
Si bien se identifica un ataque con un objetivo claro, que es la captura de la central telefónica, este podría solo ser parte de un método avanzado de reconocimiento de una red, por lo que es imperante que los propietarios de esta tecnología entiendan correctamente los alcances de una vulneración de seguridad.
Por otra parte, dada la popularidad de esta tecnología es esperable que continúe su masificación tal como ha sucedido hasta ahora.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Tipo | Indicador |
---|---|
url | campusteen[.]ru |
url | caramelgirl[.]ru |
url | cumixface[.]ru |
url | cutiebooty[.]ru |
url | gentlepus[.]ru |
url | lopornix[.]ru |
url | megabobox[.]ru |
url | sledporn[.]ru |
url | Super-teen[.]ru |
url | sweetassma[.]ru |
url | hxxp[://]37[.]49[.]230[.]74... |
url | hxxp[://]37[.]49[.]230[.]74... |
url | hxxp[://]37[.]49[.]230[.]74... |
url | hxxp[://]37[.]49[.]230[.]74... |
hash | 000a3688455edacc1dac1753979... |
hash | 0012342749e3bae85a9269a9366... |
hash | 001305bd3be538e50014d42f02d... |
hash | 0050232e04880fbe1d0c670b711... |
hash | 0059d7b736dc1e61bd5b22fff60... |
hash | 0088cba19eec78daee0310854c4... |
hash | 2c1c704a842149d42e9c099be07... |
hash | 4a3a1873868281fa4b36c510803... |
hash | 7e6dcffeb6a77698c56317f60de... |
hash | 9d2c6e43aeebb49fdb3bf569cf7... |
hash | a0c0220ac05b8a243e30970bdfe... |
hash | b21c0820000cde4bc3229cbcea8... |