{"id":272817,"date":"2022-09-14T09:30:39","date_gmt":"2022-09-14T07:30:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272817"},"modified":"2022-09-14T09:50:16","modified_gmt":"2022-09-14T07:50:16","slug":"mitel-mivoice-connect-wird-durch-lorenz-ransomware-angegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/14\/mitel-mivoice-connect-wird-durch-lorenz-ransomware-angegriffen\/","title":{"rendered":"Mitel MiVoice Connect wird durch Lorenz-Ransomware angegriffen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/09\/14\/mitel-mivoice-connect-wird-durch-lorenz-ransomware-angegriffen\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Telefonanlagen des kanadischen Herstellers Mitel, die in Unternehmen zum Einsatz kommen, werden durch Ransomware der Lorenz-Gruppe angegriffen. Die Arctic Wolf Labs vermuten, dass die Lorenz Ransomware-Gruppe die Schwachstelle CVE-2022-29499 ausgenutzt hat, um Mitel MiVoice Connect-Systeme zu kompromittieren und so einen ersten Zugang zu erhalten. Danach l\u00e4sst sich die Anlage \u00fcbernehmen, um diese zu verschl\u00fcsseln und Opfer zu erpressen. Administratoren sollten die Software der Telefonanlage auf den neuesten Stand bringen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/c8fecbd0523c4d3683633d9d83713738\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/de.wikipedia.org\/wiki\/Mitel_Networks\" target=\"_blank\" rel=\"noopener\">Mitel Networks Corporation<\/a> ist ein kanadisches Telekommunikationsunternehmen. Das Unternehmen konzentrierte sich nach einem Eigent\u00fcmerwechsel im Jahr 2001 fast ausschlie\u00dflich auf Voice-over-IP-Produkte. Die <a href=\"https:\/\/www.mitel.com\/products\/business-phone-systems\/on-site\/mivoice-connect\" target=\"_blank\" rel=\"noopener\">Mitel MiVoice Connect-Systeme<\/a> werden vor allem in Firmen als Telefonzentrale eingesetzt.<\/p>\n<h2>Die Lorenz Ransomware-Gruppe<\/h2>\n<p>Das Sicherheitsunternehmen Artic Wolf schreibt in <a href=\"https:\/\/arcticwolf.com\/resources\/blog\/lorenz-ransomware-chiseling-in\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a>, dass die Lorenz Ransomware-Gruppe auf Mitel MiVoice Connect-Systeme abzielt. Lorenz ist eine Ransomware-Gruppe, die mindestens seit Februar 2021 aktiv ist. Die Cyber-Kriminellen erpressen die Opfer einmal durch verschl\u00fcsseln der Systeme, drohen aber auch mit der Ver\u00f6ffentlichung erbeuteter Firmendokumente.\u00a0 Ende Juni ver\u00f6ffentlichten Forscher von CrowdStrike einen <a href=\"https:\/\/www.crowdstrike.com\/blog\/novel-exploit-detected-in-mitel-voip-appliance\/\" target=\"_blank\" rel=\"noopener\">Blog-Beitrag<\/a>, in dem sie einen mutma\u00dflichen Ransomware-Angriff beschrieben, bei dem die Schwachstelle <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2022-29499\" target=\"_blank\" rel=\"noopener\">CVE-2022-29499<\/a> f\u00fcr den Erstzugang genutzt wurde. Im letzten Quartal hatte es die Gruppe vor allem auf kleine und mittlere Unternehmen (KMU) in den Vereinigten Staaten abgesehen, einzelne Infektionen gab es auch in China und Mexiko.<\/p>\n<h2>Angriffe auf Mitel MiVoice Connect-Systeme<\/h2>\n<p>Die Sicherheitsforscher vermuten, dass die Schwachstelle <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2022-29499\" target=\"_blank\" rel=\"noopener\">CVE-2022-29499<\/a> ausgenutzt wird, um einen Zugriff auf die Software der Telefonanlage zu erhalten. Im Sicherheitshinweis <a href=\"https:\/\/www.mitel.com\/en-ca\/support\/security-advisories\/mitel-product-security-advisory-22-0002\" target=\"_blank\" rel=\"noopener\">22-0002<\/a> schreibt Mitel, dass eine Sicherheitsl\u00fccke in der Mitel Service Appliance-Komponente von MiVoice Connect (Mitel Service Appliances &#8211; SA 100, SA 400 und Virtual SA) entdeckt wurde. Die Sicherheitsl\u00fccke erm\u00f6glicht einem b\u00f6swilligen Akteur eine Remotecodeausf\u00fchrung (CVE-2022-29499) im Kontext der Service Appliance durchzuf\u00fchren. Betroffen ist MiVoice Connect (bis zur Versions 14.2) &#8211; Mitel empfiehlt Kunden mit betroffenen Produktversionen, die verf\u00fcgbaren Abhilfema\u00dfnahmen anzuwenden.<\/p>\n<p>Nachdem die Ransomware Zugriff \u00fcber die Schwachstelle auf die Software erhalten hat, wartet die Schadsoftware fast einen Monat, um weitere Aktivit\u00e4ten durchzuf\u00fchren. Dann verwendet die Ransomware FileZilla, um erbeutet Daten abzuziehen und auf die Server der Ransomware-Gang zu \u00fcbertragen. Im Anschluss erfolgt die Verschl\u00fcsselung der Dateien auf den Systemen meist mittels BitLocker unter Windows. Aber die Sicherheitsforscher haben einige wenige ESXi-Hosts beobachtet, die von der Lorenz-Ransomware zur Verschl\u00fcsselung eingesetzt wurden.<\/p>\n<p>Dann versuchen die Cyber-Kriminellen die Unternehmen zu erpressen, wobei sowohl die verschl\u00fcsselten Dateien als auch die erbeuteten Firmendokumente als Druckmittel dienen. Im Juli 2022 ver\u00f6ffentlichte Mitel MiVoice Connect Version R19.3, die CVE-2022-29499 vollst\u00e4ndig behebt. Die Sicherheitsforscher von Artic Wolf empfehlen ein Upgrade auf Version R19.3, um eine m\u00f6gliche Ausnutzung dieser Sicherheitsl\u00fccke zu verhindern. Am 19. April 2022 stellte Mitel ein Skript f\u00fcr die Versionen 19.2 SP3 und fr\u00fcher sowie R14.x und fr\u00fcher als Workaround vor der Ver\u00f6ffentlichung von R19.3 zur Verf\u00fcgung. Details sind <a href=\"https:\/\/arcticwolf.com\/resources\/blog\/lorenz-ransomware-chiseling-in\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> zu entnehmen. (<a href=\"https:\/\/www.heise.de\/news\/Lorenz-Ransomware-nutzt-VoIP-Telefone-MiVoice-Connect-von-Mitel-als-Sprungbrett-7261947.html\" target=\"_blank\" rel=\"noopener\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Telefonanlagen des kanadischen Herstellers Mitel, die in Unternehmen zum Einsatz kommen, werden durch Ransomware der Lorenz-Gruppe angegriffen. Die Arctic Wolf Labs vermuten, dass die Lorenz Ransomware-Gruppe die Schwachstelle CVE-2022-29499 ausgenutzt hat, um Mitel MiVoice Connect-Systeme zu kompromittieren und so einen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/09\/14\/mitel-mivoice-connect-wird-durch-lorenz-ransomware-angegriffen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[3081,4328],"class_list":["post-272817","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-geraete","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272817","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272817"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272817\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}