25 de novembro de 2020

Mais de 1.200 organizações foram vítimas de uma campanha que usa explorações de vulnerabilidades conhecidas para obter acesso remoto a contas VoIP

Hackers estão explorando falhas de VoIP para comprometer contas comerciais

Uma campanha de hacking em larga escala comprometeu sistemas telefônicos VoIP (Voice over Internet Protocol) em mais de 1.200 empresas em todo o mundo ao longo deste ano, a fim de lucrar com a venda de contas comprometidas.

Embora o objetivo principal pareça ser a discagem de números com tarifa premium, ou a venda de números de telefone e planos de chamadas, para que outros cibercriminosos possam usar esses números, o acesso a sistemas VoIP pode oferecer aos invasores a oportunidade de conduzir outros ataques mais complexos, incluindo ouvir chamadas privadas, cryptocurrency mining (mineração de criptomoedas), ou, até mesmo, usar os sistemas comprometidos como uma catapulta para campanhas muito mais agressivas.

Os detalhes da campanha

Os ataque foi detalhado por pesquisadores de segurança cibernética da Check Point, em relatório exclusivo.

Um grupo de hackers comprometeu as redes VoIP de quase 1.200 organizações em mais de 20 países, explorando vulnerabilidades conhecidas, com mais da metade das vítimas no Reino Unido.

“Durante nossa pesquisa, descobrimos uma nova campanha direcionada ao Sangoma PBX, uma GUI da web de código aberto que gerencia o Asterisk, o sistema PBX VoIP mais popular do mundo, usado por muitas empresas para telecomunicações. O ataque explora uma vulnerabilidade crítica no Sangoma, concedendo ao invasor acesso de administrador ao sistema.”

Acredita-se que setores como governo, militar, seguros, finanças e manufatura tenham sido vítimas da campanha.

Os ataques exploram a CVE-2019-19006, uma vulnerabilidade crítica nos sistemas de telefone VoIP da Sangoma e Asterisk, que permite que estranhos obtenham acesso remotamente sem qualquer forma de autenticação.

Um patch de segurança para corrigir a vulnerabilidade foi lançado ainda no ano passado, mas muitas organizações não o aplicaram – e os criminosos estão se aproveitando justamente disso, procurando por sistemas sem patch.

"A vulnerabilidade é uma falha de desvio de autenticação, e o exploit está disponível publicamente, como parte do protocolo de notificação de falhas de segurança. Uma vez explorado, os hackers têm acesso de administrador ao sistema VoIP, o que lhes permite controlar totalmente suas funções. E o pior: a invasão não será detectada, a menos que uma equipe de TI esteja procurando especificamente por isso", disse Derek Middlemiss, evangelista de segurança da Check Point Research, à imprensa.

O problema talvez seja ainda mais sério: a cadeia de ataques a sistemas VoIP

Um dos meios mais comuns de exploração desses sistemas hackeados é fazer chamadas sem registrá-las no sistema VoIP, o que permitiria aos invasores discar secretamente números de tarifa premium que eles configuraram para ganhar dinheiro às custas da organização comprometida .

E como as empresas fazem tantas ligações legítimas nesses sistemas, seria difícil detectar se um servidor está sendo explorado maliciosamente ou não.

Os invasores também ganham dinheiro vendendo o acesso aos sistemas em leilões virtuais, algo que poderia ser usado para outros ataques cibernéticos, ainda mais perigosos para as vítimas.

E é bastante possível para os invasores usarem um sistema VoIP comprometido como um gateway para o resto da rede, abrindo a possibilidade de roubar credenciais ou implantar malware.

“Isso depende de como o servidor está configurado e conectado ao resto da rede corporativa. Se não for segmentado do resto da rede, os invasores podem se mover lateralmente”, acrescentou Middlemiss.

O relatório conclui:

“Encontramos vários players relevantes na área que publicaram postagens de vendas de informações, ferramentas e sites de exploração de sistemas VoIP em fóruns de cibercrime. […]

As descobertas iniciais foram tutoriais sobre como fazer a varredura, reunir informações em servidores relativos e usar scripts de exploração. As instruções simplificam o processo a um nível em que qualquer pessoa poderia hackear um sistema. Talvez, como resultado, pareça haver uma grande e crescente comunidade envolvida na invasão de serviços de VoIP.

Embora isso possa explicar a cadeia de infecção, ainda existem dúvidas sobre a motivação dos ataques. Uma análise mais aprofundada levou não apenas à descoberta de que os ataques aos servidores SIP ocorram em uma escala maior do que se pensava inicialmente, mas também que existe um modelo econômico profundo subjacente.”

Para se proteger, recomenda-se que as organizações alterem nomes de usuário e senhas padrão em dispositivos para que não possam ser explorados facilmente e, se possível, analise o faturamento de chamadas regularmente para destinos potencialmente suspeitos, volumes de tráfego ou padrões de chamada.

E o mais importante, as organizações devem aplicar os patches de segurança necessários para evitar que vulnerabilidades conhecidas sejam exploradas, assim que eles estiverem disponíveis.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e conheça nossas soluções

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?