Akamai, Cloudflare, Lumen Black Lotus Labs, Mitel, Netscour, Team Cymru, Telus ve The Shadowserver Foundation’dan güvenlik araştırmacıları, tek bir paketten başlatılabilen 4 milyardan bire yükseltme oranlarına sahip hizmet reddi saldırılarını ortaya çıkardı.
Kod adı CVE-2022-26143 olan kusur, İnternet’e PBX ağ geçitleri görevi gören ve internette ifşa edilmemesi gereken bir test moduna sahip, yanlış yapılandırılmış yaklaşık 2.600 Mitel MiCollab ve MiVoice Business Express sisteminde bulunuyor.
“Bu test modu, tek bir sahte kötü amaçlı paket kullanılarak 14 saate kadar süren sürekli bir DDoS saldırısı başlatmak için kötüye kullanılabilir ve bu da 4,294,967,296:1 rekor paket yükseltme oranıyla sonuçlanır”, diye açıklıyor. Blog yazısı Bilgisayar güvenliğine adanmış kar amacı gütmeyen bir kuruluş olan Shadowserver Foundation’ın.
“Tek bir ilk paketi kullanan bu saldırıların, ağ operatörünün saldırının kaynağını izlemesini engelleme etkisine sahip olduğuna dikkat edilmelidir. UDP yansıma/güçlendirme türündeki diğer DDoS saldırı vektörlerine kıyasla saldırının kaynağını izlemek zor ”
Mitel sistemlerindeki bir sürücü, durum güncelleme paketlerini stres testi yapan bir komut içerir. Bu sürücü teorik olarak 14 saat boyunca maksimum olası 1,184 bayt boyutunda 4,294,967,294 paket üretebilir.
“Bu, tümü yalnızca 1119 bayt uzunluğundaki tek bir başlatıcı paketinden kaynaklanan tek bir yansıtıcı/yükselticiden 393 Mb/sn’nin hemen altında bir saldırı trafiği trafiği üretecektir. “, diyor blog.
“Sonuç, tek bir paket tarafından tetiklenen yüzde 220 milyarlık bir çarpan olan 2.200.288.816:1’lik neredeyse hayal edilemez bir amplifikasyon oranıdır.”
Neyse ki, Mitel sisteminin bir seferde yalnızca bir komutu işleyebildiği ortaya çıktı, bu nedenle blog, DDoS için bir sistem kullanılıyorsa, gerçek kullanıcıların neden kullanılamadığını ve giden bağlantının neden doymuş olduğunu merak edebilir, diyor blog.
Mitel kullanıcıları, sistemleri güncellemeye ek olarak, standart ağ savunma araçlarıyla 10074 numaralı UDP bağlantı noktasındaki uygunsuz gelen trafiği algılayabilir ve engelleyebilir.
İstismarı kullanan ilk saldırılar 18 Şubat’ta başladı ve öncelikle 80 ve 443 numaralı bağlantı noktalarını etkiledi ve ISP’leri, finans kurumlarını ve lojistik şirketlerini hedef aldı.
Kaynak: “ZDNet.com”
