据东方同盟安全组织的研究创造,该攻击利用了CVE-2019-19006(CVSS评分9.8)这一严重漏洞,影响了FreePBX和PBXact的管理员Web界面,潜在地许可未经授权的用户通过将特制数据包发送到系统来得到管理员对系统的访问权限。
远程管理员身份验证绕过漏洞影响FreePBX版本15.0.16.26及以下,14.0.13.11及以下以及13.0.197.13及以下,并于2019年11月修复。
东方同盟研究职员指出:“攻击始于SIPVicious,一种盛行的工具套件,用于审核基于SIP的VoIP系统。” “攻击者利用'svmapmodule'扫描Internet以查找运行易受攻击的FreePBX版本的SIP系统。一旦创造,攻击者便利用CVE-2019-19006来得到对该系统的管理员访问权限。”
在一个攻击流程中,创造一个初始的PHP Web Shell被用来获取FreePBX系统的数据库和不同SIP扩展名的密码,从而使攻击者可以不受限定地访问全体系统,并且可以从每个扩展名进行呼叫。
在第二个版本的攻击中,最初的Web Shell被用于下载base64编码的PHP文件,然后将其解码以启动Web面板,该平台可利用具有FreePBX和Elastix支持的受损系统,使对手进行呼叫,以及运行任意和硬编码的命令。
广告活动依赖Pastebin下载受密码保护的Web Shell,将攻击与上载者绑定在一起,其名称为“ INJ3CTOR3”,该名称与一个旧的SIP远程实行代码漏洞(CVE-2014-7235)关联。用于共享SIP做事器攻击的私有Facebook组的数量。
东方同盟研究职员认为,黑客攻击者可以利用被入侵的VoIP做事器呼叫受其掌握的国际溢价率号码(IPRN)。IPRN是企业用来供应基于电话的购买和其他做事(例如,将呼叫者置于保留状态)以收取更高用度的专用号码。
这笔用度常日会转嫁给拨打这些溢价号码的客户,从而使其成为可以滥用的系统。因此,IPRN的所有者收到的呼叫越多,客户排队等待完成交易的韶光越长,它可以向电信供应商和客户收取的用度就越多。
东方同盟创始人郭盛华透露:“利用IPRN程序不仅使黑客能够打电话,而且还滥用SIP做事器来牟利。利用的做事器越多,对IPRN的调用就越多。”
这不是首次将交流系统用于国际税收分成敲诈(IRSF),一种造孽获取运营商网络访问的行为,以将流量增加到从IPRN供应商那里得到的电话号码。
早在9月,东方同盟研究职员就创造了名为CDRThief的Linux恶意软件,该恶意软件针对VoIP软交流,旨在盗取电话元数据并履行IRSF操持。他们利用社交媒体来扩展VoIP系统的黑客攻击和获利。
对Asterisk做事器的攻击也很罕见,由于威胁参与者的目标不仅是***对受传染系统的访问权限,而且还利用这些系统的根本架构来产生利润。(欢迎转载分享分享)
