Hackers abusam de dispositivos da Mitel para amplificar ataques DDoS em 4 bilhões de vezes
Atores de ameaças foram observados abusando de um método de reflexão e amplificação de alto impacto para encenar ataques de negação de serviço distribuídos sustentados (DDoS) por até 14 horas com uma taxa de amplificação recorde de 4.294.967.296 para 1.
O vetor de ataque – apelidado de TP240PhoneHome ( CVE-2022-26143 ) foi armado para lançar ataques DDoS significativos direcionados a ISPs de acesso de banda larga, instituições financeiras, empresas de logística, empresas de jogos e outras organizações.
“Aproximadamente 2.600 sistemas de colaboração Mitel MiCollab e MiVoice Business Express que atuam como gateways de PBX para a Internet foram implantados incorretamente com um recurso de teste de sistema abusivo exposto à Internet pública”, conforme o pesquisador da Akamai, Chad Seaman , em um comunicado conjunto .
“Os invasores estavam aproveitando ativamente destes sistemas para lançar ataques DDoS de reflexão e amplificação de mais de 53 milhões de pacotes por segundo (PPS)”.
Os ataques de reflexão DDoS geralmente envolvem a falsificação do endereço IP de uma vítima para redirecionar as respostas de um destino, como DNS, NTP ou servidor CLDAP, de forma que as respostas enviadas ao remetente falsificado sejam muito maiores do que as solicitações, levando à inacessibilidade completa do serviço.
Diz-se que o primeiro sinal dos ataques foi detectado em 18 de fevereiro de 2022 usando os sistemas de colaboração MiCollab e MiVoice Business Express da Mitel como refletores DDoS, cortesia da exposição inadvertida de uma instalação de teste não autenticada à Internet pública.
“Esse vetor de ataque em particular difere da maioria das metodologias de ataque de reflexão e amplificação UDP, pois o recurso de teste do sistema exposto pode ser abusado para lançar um ataque DDoS sustentado de até 14 horas de duração por meio de um único pacote de iniciação de ataque falsificado, resultando em um taxa de amplificação de pacote de configuração de registro de 4.294.967.296:1.”
Especificamente, os ataques armam um driver chamado tp240dvr (“driver TP-240”) projetado para ouvir comandos na porta UDP 10074 e “não deve ser exposto à Internet”, explicou Akamai, acrescentando “É essa exposição a internet que, em última análise, permite que ela seja abusada.”
“O exame do binário tp240dvr revela que devido ao seu design, um invasor pode teoricamente fazer com que o serviço emita 2.147.483.647 respostas a um único comando malicioso. Cada resposta gera dois pacotes na rede, levando a aproximadamente 4.294.967.294 pacotes de ataque amplificado direcionados para a vítima do ataque.”
Em resposta à descoberta, a Mitel lançou na terça-feira atualizações de software que desativam o acesso público ao recurso de teste, descrevendo o problema como uma vulnerabilidade de controle de acesso que pode ser explorada para obter informações confidenciais.
“O impacto colateral dos ataques de reflexão e amplificação TP-240 é potencialmente significativo para organizações com sistemas de colaboração Mitel MiCollab e MiVoice Business Express expostos à Internet que são abusados como refletores e amplificadores de DDoS”, conforme a empresa.
“Isso pode incluir interrupção parcial ou total das comunicações de voz por meio desses sistemas, bem como interrupção de serviço adicional devido ao consumo de capacidade de trânsito, esgotamento da tabela de estado das traduções de endereços de rede, firewalls com estado e assim por diante.”
Este artigo é uma tradução de: https://thehackernews.com/2022/03/hackers-abuse-mitel-devices-to-amplify.html (Autor: )
