Criminelen hebben een zerodaylek in een de voip-serversoftware van fabrikant Mitel gebruikt bij een ransomware-aanval. Na te zijn ingelicht over de kritieke kwetsbaarheid (CVE-2022-29499) ontwikkelde Mitel een beveiligingsupdate. MiVoice Connect is een voip-platform voor organisaties dat communicatie- en collaboration tools via één interface aanbiedt. Het draait zowel op fysieke als virtuele hardware.

Een kwetsbaarheid in MiVoice Connect maakt remote code execution mogelijk waardoor een aanvaller code op de server kan uitvoeren. Begin dit jaar werd het beveiligingslek gebruikt bij een ransomware-aanval tegen een niet nader genoemde organisatie, zo meldt securitybedrijf Crowdstrike. Via de gecompromitteerde voip-server werd geprobeerd om andere systemen in het netwerk van de aangevallen organisatie te compromitteren.

Daarnaast bleek dat dat de aanvallers data probeerden te verwijderen om forensisch onderzoek te bemoeilijken. Het lukte de onderzoekers echter om de logbestanden te herstellen waardoor ze informatie over de aanval en gebruikte exploit ontdekten. Vervolgens konden ze Mitel waarschuwen. Het softwarebedrijf kwam eind april met een patch. Gisteren maakte Crowdstrike details over de aanval openbaar.