Des auteurs de menaces ont \u00e9t\u00e9 observ\u00e9s abusant d’une m\u00e9thode de r\u00e9flexion\/amplification \u00e0 fort impact pour organiser des attaques par d\u00e9ni de service distribu\u00e9 (DDoS) soutenues pendant jusqu’\u00e0 14 heures avec un taux d’amplification record de 4\u00a0294\u00a0967\u00a0296 pour 1.<\/p>\n
Le vecteur d’attaque – surnomm\u00e9 TP240T\u00e9l\u00e9phoneMaison<\/strong> (CVE-2022-26143<\/b>) \u2013 a \u00e9t\u00e9 arm\u00e9 pour lancer d’importantes attaques DDoS ciblant les FAI d’acc\u00e8s \u00e0 large bande, les institutions financi\u00e8res, les soci\u00e9t\u00e9s de logistique, les soci\u00e9t\u00e9s de jeux et d’autres organisations.<\/p>\n \u00ab Environ 2 600 syst\u00e8mes de collaboration Mitel MiCollab et MiVoice Business Express agissant comme des passerelles PBX vers Internet ont \u00e9t\u00e9 d\u00e9ploy\u00e9s de mani\u00e8re incorrecte avec une installation de test de syst\u00e8me abusive expos\u00e9e \u00e0 l’Internet public \u00bb, a d\u00e9clar\u00e9 Chad Seaman, chercheur chez Akamai. mentionn\u00e9<\/a> dans un d\u00e9couper<\/a> consultatif<\/a>.<\/p>\n “Les attaquants exploitaient activement ces syst\u00e8mes pour lancer des attaques DDoS par r\u00e9flexion\/amplification de plus de 53 millions de paquets par seconde (PPS).”<\/p>\n Attaques par r\u00e9flexion DDoS impliquent g\u00e9n\u00e9ralement<\/a> usurper l’adresse IP d’une victime pour rediriger les r\u00e9ponses d’une cible telle qu’un serveur DNS, NTP ou CLDAP de mani\u00e8re \u00e0 ce que les r\u00e9ponses envoy\u00e9es \u00e0 l’exp\u00e9diteur usurp\u00e9 soient beaucoup plus volumineuses que les requ\u00eates, ce qui entra\u00eene une inaccessibilit\u00e9 totale du service.<\/p>\n Le premier signe des attaques aurait \u00e9t\u00e9 d\u00e9tect\u00e9 le 18 f\u00e9vrier 2022 en utilisant les syst\u00e8mes de collaboration MiCollab et MiVoice Business Express de Mitel comme r\u00e9flecteurs DDoS, gr\u00e2ce \u00e0 l’exposition par inadvertance d’une installation de test non authentifi\u00e9e \u00e0 l’Internet public.<\/p>\n “Ce vecteur d’attaque particulier diff\u00e8re de la plupart des m\u00e9thodologies d’attaque par r\u00e9flexion\/amplification UDP en ce que l’installation de test du syst\u00e8me expos\u00e9e peut \u00eatre exploit\u00e9e pour lancer une attaque DDoS soutenue d’une dur\u00e9e allant jusqu’\u00e0 14 heures au moyen d’un seul paquet d’initiation d’attaque usurp\u00e9, entra\u00eenant un rapport d’amplification de paquets record de 4 294 967 296:1.<\/p>\n Plus pr\u00e9cis\u00e9ment, les attaques militarisent un pilote appel\u00e9 tp240dvr (“pilote TP-240”) qui est con\u00e7u pour \u00e9couter les commandes sur le port UDP 10074 et “n’est pas destin\u00e9 \u00e0 \u00eatre expos\u00e9 \u00e0 Internet”, a expliqu\u00e9 Akamai, ajoutant “c’est cette exposition \u00e0 l’internet qui permet finalement d’en abuser.”<\/p>\n “L’examen du binaire tp240dvr r\u00e9v\u00e8le qu’en raison de sa conception, un attaquant peut th\u00e9oriquement amener le service \u00e0 \u00e9mettre 2\u00a0147\u00a0483\u00a0647 r\u00e9ponses \u00e0 une seule commande malveillante. Chaque r\u00e9ponse g\u00e9n\u00e8re deux paquets sur le c\u00e2ble, ce qui conduit \u00e0 environ 4\u00a0294\u00a0967\u00a0294 paquets d’attaque amplifi\u00e9s dirig\u00e9s vers la victime de l’attaque.”<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Les-logiciels-malveillants-piratant-les-medias-sociaux-se-propagent-via.png\")
<\/a><\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646326908_645_Correctifs-critiques-publies-pour-la-gamme-Cisco-Expressway-les-produits.jpeg\")
<\/a><\/div>\n