Impatto Sistemico

Alto (71.53)

Sintesi

Il SIRT (Security Intelligence and Response Team) di Akamai ha recentemente osservato una nuova variante di Aquabot – botnet creata dal framework Mirai al fine di condurre attacchi DDoS – effettuare tentativi di sfruttamento della CVE-2024-41710 – già sanata dal vendor a luglio 2024 – relativa a prodotti Mitel. Tale vulnerabilità consentirebbe, a un utente malintenzionato, l’esecuzione di codice arbitrario nel contesto del sistema target.

Note: un Proof of Concept per lo sfruttamento della CVE-2024-41710 risulta disponibile in rete.

Descrizione e potenziali impatti

Il SIRT (Security Intelligence and Response Team) di Akamai ha recentemente osservato una nuova variante di Aquabot – botnet creata dal framework Mirai al fine di condurre attacchi DDoS – effettuare tentativi di sfruttamento della CVE-2024-41710 – già sanata dal vendor a luglio 2024 – relativa a prodotti Mitel. Tale vulnerabilità consentirebbe, a un utente malintenzionato, l’esecuzione di codice arbitrario nel contesto del sistema target.

Descrizione di Aquabot

Aquabot è una botnet creata dal framework Mirai al fine di condurre attacchi DDoS. È stata rilevata per la prima volta nel novembre 2023 ed attualmente sono conosciute tre diverse versioni. La terza versione, discussa in questo bollettino, differisce dalle precedenti per alcune novità introdotte tra cui, la più rilevante, la comunicazione con il server di comando e controllo (C2) qualora la botnet rilevi determinate tipologie di segnali.

Descrizione della vulnerabilità sfruttata

Come affermato dal SIRT di Akamai, la botnet Aquabot sta tendando di sfruttare attivamente la vulnerabilità CVE-2024-41710 – con score CVSS v3.1 pari a 6.8 – di tipo “Command Injection”, che interessa i dispositivi SIP serie 6800, 6900 e 6900w, e la Conference Unit 6970 di Mitel. Un utente malintenzionato, autenticato con privilegi amministrativi, potrebbe sfruttare tale vulnerabilità per condurre un “Argument Injection Attack”, sfruttando richieste HTTP POST opportunamente predisposte. Tramite tale attacco, l’utente malevolo risulterebbe in grado di manipolare il contenuto del file di configurazione locale /nvdata/etc/local.cfg al fine di introdurre uno script malevolo che, a causa di un’insufficiente sanitizzazione dei parametri, sarebbe poi eseguito durante il processo di avvio del dispositivo.

Descrizione del malware

Aquabot v3 possiede le tipiche funzioni d’attacco DDoS di un malware standard Mirai, ma si distingue per una funzione in particolare, chiamata “ defend_binary() ”. Quest’ultima configura un’ulteriore funzione, denominata ” handle_signal()”, che ha la capacità di intercettare i seguenti segnali diretti al malware in esecuzione:

• Signal 15 (SIGTERM)
• Signal 2 (SIGINT)
• Signal 9 (SIGKILL)
• Signal 3 (SIGQUIT)
• Signal 20 (SIGTSTP)
• Signal 21 (SIGTTIN)
• Signal 22 (SIGTTOU)
• Signal 1 (SIGHUP)

Qualora uno di questi segnali dovesse essere intercettato, verrà inserita una “flag” in memoria per indicare che il segnale è stato catturato, al fine di “difendere” l’operatività del malware. Inoltre, la funzione report_kill() invierà, tramite una connessione TCP, un messaggio al C2 per dichiarare la tipologia di segnale catturato.

Come affermato dal SIRT di Akamai, le azioni descritte potrebbero servire allo scopo di monitorare attivamente lo stato di salute della botnet.

Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.

Tipologia

• Remote Code Execution

Prodotti e/o versioni affette

Mitel

• SIP Phones serie 6800, versione R6.4.0.HF1 (R6.4.0.136) e precedenti
• SIP Phones serie 6900, versione R6.4.0.HF1 (R6.4.0.136) e precedenti
• SIP Phones serie 6900w, versione R6.4.0.HF1 (R6.4.0.136) e precedenti
• Conference Unit 6970, versione R6.4.0.HF1 (R6.4.0.136) e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del SIRT di Akamai, si suggerisce di provvedere al cambio delle credenziali di default, ove presenti, e di aggiornare tutte le password “deboli”. Inoltre, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) ^[1] forniti alla sezione “IoC”.

^[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.