Se ha observado a los actores de amenazas abusando de un método de reflexión/amplificación de alto impacto para organizar ataques de denegación de servicio distribuido (DDoS) sostenidos durante hasta 14 horas con una tasa de amplificación sin precedentes de 4.294.967.296 a 1.
El vector de ataque – apodado TP240TeléfonoInicio (CVE-2022-26143) – se ha utilizado como arma para lanzar importantes ataques DDoS dirigidos a ISP de acceso de banda ancha, instituciones financieras, empresas de logística, empresas de juegos y otras organizaciones.
“Aproximadamente 2600 sistemas de colaboración Mitel MiCollab y MiVoice Business Express que actúan como puertas de enlace PBX a Internet se implementaron incorrectamente con una instalación de prueba de sistema abusable expuesta a la Internet pública”, dijo Chad Seaman, investigador de Akamai. dijo en un articulación consultivo.
“Los atacantes estaban aprovechando activamente estos sistemas para lanzar ataques DDoS de reflexión/amplificación de más de 53 millones de paquetes por segundo (PPS)”.
Ataques de reflexión DDoS típicamente implican falsificar la dirección IP de una víctima para redirigir las respuestas de un objetivo como un servidor DNS, NTP o CLDAP de tal manera que las respuestas enviadas al remitente falsificado sean mucho más grandes que las solicitudes, lo que lleva a la inaccesibilidad total del servicio.
Se dice que la primera señal de los ataques se detectó el 18 de febrero de 2022 utilizando los sistemas de colaboración MiCollab y MiVoice Business Express de Mitel como reflectores DDoS, cortesía de la exposición involuntaria de una instalación de prueba no autenticada a la Internet pública.
“Este vector de ataque en particular difiere de la mayoría de las metodologías de ataque de reflexión/amplificación UDP en que se puede abusar de la instalación de prueba del sistema expuesto para lanzar un ataque DDoS sostenido de hasta 14 horas de duración por medio de un solo paquete de inicio de ataque falsificado, lo que resulta en un relación de amplificación de paquetes récord de 4,294,967,296:1”.
Específicamente, los ataques arman un controlador llamado tp240dvr (“controlador TP-240”) que está diseñado para escuchar comandos en el puerto UDP 10074 y “no está destinado a estar expuesto a Internet”, explicó Akamai, y agregó: “Es esta exposición a Internet que en última instancia permite que se abuse de él”.
“El examen del binario tp240dvr revela que, debido a su diseño, un atacante teóricamente puede hacer que el servicio emita 2,147,483,647 respuestas a un solo comando malicioso. Cada respuesta genera dos paquetes en el cable, lo que lleva a aproximadamente 4,294,967,294 paquetes de ataque amplificados dirigidos hacia la víctima del ataque”.
En respuesta al descubrimiento, Mitel el martes actualizaciones de software lanzadas que deshabilita el acceso público a la función de prueba, al tiempo que describe el problema como una vulnerabilidad de control de acceso que podría explotarse para obtener información confidencial.
“El impacto colateral de los ataques de reflexión/amplificación TP-240 es potencialmente significativo para las organizaciones con sistemas de colaboración Mitel MiCollab y MiVoice Business Express expuestos a Internet que se abusan como reflectores/amplificadores DDoS”, dijo la compañía.
“Esto puede incluir la interrupción parcial o total de las comunicaciones de voz a través de estos sistemas, así como la interrupción adicional del servicio debido al consumo de capacidad de tránsito, el agotamiento de la tabla de estado de las traducciones de direcciones de red, los firewalls con estado, etc.”.
About the Author
