Tehdit aktörlerinin, 4,294,967,296’ya 1 rekor yükseltme oranıyla 14 saate kadar sürekli dağıtılmış hizmet reddi (DDoS) saldırılarını sahnelemek için yüksek etkili bir yansıtma/yükseltme yöntemini kötüye kullandıkları gözlemlendi.
Saldırı vektörü – dublajlı TP240TelefonEv (CVE-2022-26143) – geniş bant erişimli ISS’leri, finans kurumlarını, lojistik şirketlerini, oyun firmalarını ve diğer kuruluşları hedef alan önemli DDoS saldırıları başlatmak için silahlandırılmıştır.
Akamai araştırmacısı Chad Seaman, “PBX’ten İnternete ağ geçitleri olarak işlev gören yaklaşık 2.600 Mitel MiCollab ve MiVoice Business Express işbirliği sistemi, yanlış bir şekilde kamuya açık İnternet’e maruz kalan kötüye kullanılabilir bir sistem test tesisi ile konuşlandırıldı.” dedim içinde eklem yeri danışma.
“Saldırganlar, saniyede 53 milyondan fazla paketin (PPS) yansıma/güçlendirme DDoS saldırılarını başlatmak için bu sistemleri aktif olarak kullanıyorlardı.”
DDoS yansıma saldırıları tipik olarak içerir DNS, NTP veya CLDAP sunucusu gibi bir hedeften gelen yanıtları, sahte göndericiye gönderilen yanıtlar isteklerden çok daha büyük olacak ve hizmetin tamamen erişilemez olmasına yol açacak şekilde yeniden yönlendirmek için bir kurbanın IP adresini sahtekarlık yapmak.
Saldırıların ilk işaretinin 18 Şubat 2022’de Mitel’in MiCollab ve MiVoice Business Express işbirliği sistemlerini DDoS yansıtıcıları olarak kullanarak tespit edildiği söyleniyor.
“Bu özel saldırı vektörü, çoğu UDP yansıtma/yükseltme saldırı metodolojisinden farklıdır, çünkü açıkta kalan sistem test tesisi, tek bir sahte saldırı başlatma paketi aracılığıyla 14 saate kadar süren sürekli bir DDoS saldırısı başlatmak için kötüye kullanılabilir. 4,294,967,296:1’lik rekor kıran paket amplifikasyon oranı.”
Özellikle saldırılar, 10074 numaralı UDP bağlantı noktasındaki komutları dinlemek için tasarlanmış ve “İnternete maruz kalması amaçlanmayan” tp240dvr (“TP-240 sürücüsü”) adlı bir sürücüyü silah haline getiriyor. sonuçta kötüye kullanılmasına izin veren internet.”
“tp240dvr ikili dosyasının incelenmesi, tasarımı nedeniyle, bir saldırganın teorik olarak hizmetin tek bir kötü amaçlı komuta 2.147.483.647 yanıt vermesine neden olabileceğini ortaya koymaktadır. Her yanıt, kablo üzerinde iki paket oluşturur ve yaklaşık 4.294.967,294 güçlendirilmiş saldırı paketine yönlendirilir. saldırı kurbanı.”
Keşfe yanıt olarak, Mitel Salı günü yayınlanan yazılım güncellemeleri Bu, sorunu hassas bilgileri elde etmek için kullanılabilecek bir erişim denetimi güvenlik açığı olarak tanımlarken, test özelliğine genel erişimi devre dışı bırakır.
Şirket, “TP-240 yansıtma/yükseltme saldırılarının ikincil etkisi, DDoS yansıtıcıları/yükselticileri olarak kötüye kullanılan internete açık Mitel MiCollab ve MiVoice Business Express işbirliği sistemlerine sahip kuruluşlar için potansiyel olarak önemlidir” dedi.
“Bu, bu sistemler aracılığıyla sesli iletişimin kısmen veya tamamen kesilmesinin yanı sıra, taşıma kapasitesi tüketimi, ağ adresi çevirilerinin durum tablosunun tükenmesi, durum bilgisi olan güvenlik duvarları ve benzeri nedeniyle ek hizmet kesintisini içerebilir.”