Se ha observado a los actores de amenazas abusando de un m\u00e9todo de reflexi\u00f3n\/amplificaci\u00f3n de alto impacto para organizar ataques de denegaci\u00f3n de servicio distribuido (DDoS) sostenidos durante hasta 14 horas con una tasa de amplificaci\u00f3n sin precedentes de 4.294.967.296 a 1.<\/p>\n
El vector de ataque \u2013 apodado TP240Tel\u00e9fonoInicio<\/strong> (CVE-2022-26143<\/b>) \u2013 se ha utilizado como arma para lanzar importantes ataques DDoS dirigidos a ISP de acceso de banda ancha, instituciones financieras, empresas de log\u00edstica, empresas de juegos y otras organizaciones.<\/p>\n “Aproximadamente 2600 sistemas de colaboraci\u00f3n Mitel MiCollab y MiVoice Business Express que act\u00faan como puertas de enlace PBX a Internet se implementaron incorrectamente con una instalaci\u00f3n de prueba de sistema abusable expuesta a la Internet p\u00fablica”, dijo Chad Seaman, investigador de Akamai. dijo<\/a> en un articulaci\u00f3n<\/a> consultivo<\/a>.<\/p>\n “Los atacantes estaban aprovechando activamente estos sistemas para lanzar ataques DDoS de reflexi\u00f3n\/amplificaci\u00f3n de m\u00e1s de 53 millones de paquetes por segundo (PPS)”.<\/p>\n Ataques de reflexi\u00f3n DDoS t\u00edpicamente implican<\/a> falsificar la direcci\u00f3n IP de una v\u00edctima para redirigir las respuestas de un objetivo como un servidor DNS, NTP o CLDAP de tal manera que las respuestas enviadas al remitente falsificado sean mucho m\u00e1s grandes que las solicitudes, lo que lleva a la inaccesibilidad total del servicio.<\/p>\n Se dice que la primera se\u00f1al de los ataques se detect\u00f3 el 18 de febrero de 2022 utilizando los sistemas de colaboraci\u00f3n MiCollab y MiVoice Business Express de Mitel como reflectores DDoS, cortes\u00eda de la exposici\u00f3n involuntaria de una instalaci\u00f3n de prueba no autenticada a la Internet p\u00fablica.<\/p>\n “Este vector de ataque en particular difiere de la mayor\u00eda de las metodolog\u00edas de ataque de reflexi\u00f3n\/amplificaci\u00f3n UDP en que se puede abusar de la instalaci\u00f3n de prueba del sistema expuesto para lanzar un ataque DDoS sostenido de hasta 14 horas de duraci\u00f3n por medio de un solo paquete de inicio de ataque falsificado, lo que resulta en un relaci\u00f3n de amplificaci\u00f3n de paquetes r\u00e9cord de 4,294,967,296:1”.<\/p>\n Espec\u00edficamente, los ataques arman un controlador llamado tp240dvr (“controlador TP-240”) que est\u00e1 dise\u00f1ado para escuchar comandos en el puerto UDP 10074 y “no est\u00e1 destinado a estar expuesto a Internet”, explic\u00f3 Akamai, y agreg\u00f3: “Es esta exposici\u00f3n a Internet que en \u00faltima instancia permite que se abuse de \u00e9l”.<\/p>\n “El examen del binario tp240dvr revela que, debido a su dise\u00f1o, un atacante te\u00f3ricamente puede hacer que el servicio emita 2,147,483,647 respuestas a un solo comando malicioso. Cada respuesta genera dos paquetes en el cable, lo que lleva a aproximadamente 4,294,967,294 paquetes de ataque amplificados dirigidos hacia la v\u00edctima del ataque\u201d.<\/p>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Error-de-pirateria-de-correo-electronico-sin-parches-de-9.png\")
<\/a><\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1646327406_168_Parches-criticos-emitidos-para-los-productos-Cisco-Expressway-Series-TelePresence.jpeg\")
<\/a><\/div>\n