Des auteurs de menaces ont été observés abusant d’une méthode de réflexion/amplification à fort impact pour organiser des attaques par déni de service distribué (DDoS) soutenues pendant jusqu’à 14 heures avec un taux d’amplification record de 4 294 967 296 pour 1.
Le vecteur d’attaque – surnommé TP240TéléphoneMaison (CVE-2022-26143) – a été armé pour lancer d’importantes attaques DDoS ciblant les FAI d’accès à large bande, les institutions financières, les sociétés de logistique, les sociétés de jeux et d’autres organisations.
« Environ 2 600 systèmes de collaboration Mitel MiCollab et MiVoice Business Express agissant comme des passerelles PBX vers Internet ont été déployés de manière incorrecte avec une installation de test de système abusive exposée à l’Internet public », a déclaré Chad Seaman, chercheur chez Akamai. mentionné dans un découper consultatif.
« Les attaquants exploitaient activement ces systèmes pour lancer des attaques DDoS par réflexion/amplification de plus de 53 millions de paquets par seconde (PPS). »
Attaques par réflexion DDoS impliquent généralement usurper l’adresse IP d’une victime pour rediriger les réponses d’une cible telle qu’un serveur DNS, NTP ou CLDAP de manière à ce que les réponses envoyées à l’expéditeur usurpé soient beaucoup plus volumineuses que les requêtes, ce qui entraîne une inaccessibilité totale du service.
Le premier signe des attaques aurait été détecté le 18 février 2022 en utilisant les systèmes de collaboration MiCollab et MiVoice Business Express de Mitel comme réflecteurs DDoS, grâce à l’exposition par inadvertance d’une installation de test non authentifiée à l’Internet public.
« Ce vecteur d’attaque particulier diffère de la plupart des méthodologies d’attaque par réflexion/amplification UDP en ce que l’installation de test du système exposée peut être exploitée pour lancer une attaque DDoS soutenue d’une durée allant jusqu’à 14 heures au moyen d’un seul paquet d’initiation d’attaque usurpé, entraînant un rapport d’amplification de paquets record de 4 294 967 296:1.
Plus précisément, les attaques militarisent un pilote appelé tp240dvr (« pilote TP-240 ») qui est conçu pour écouter les commandes sur le port UDP 10074 et « n’est pas destiné à être exposé à Internet », a expliqué Akamai, ajoutant « c’est cette exposition à l’internet qui permet finalement d’en abuser. »
« L’examen du binaire tp240dvr révèle qu’en raison de sa conception, un attaquant peut théoriquement amener le service à émettre 2 147 483 647 réponses à une seule commande malveillante. Chaque réponse génère deux paquets sur le câble, ce qui conduit à environ 4 294 967 294 paquets d’attaque amplifiés dirigés vers la victime de l’attaque. »
En réponse à la découverte, Mitel mardi mises à jour logicielles publiées qui désactive l’accès public à la fonctionnalité de test, tout en décrivant le problème comme une vulnérabilité de contrôle d’accès qui pourrait être exploitée pour obtenir des informations sensibles.
« L’impact collatéral des attaques par réflexion/amplification TP-240 est potentiellement important pour les organisations disposant de systèmes de collaboration Mitel MiCollab et MiVoice Business Express exposés à Internet qui sont utilisés abusivement comme réflecteurs/amplificateurs DDoS », a déclaré la société.
« Cela peut inclure une interruption partielle ou totale des communications vocales via ces systèmes, ainsi qu’une interruption de service supplémentaire due à la consommation de capacité de transit, à l’épuisement de la table d’état des traductions d’adresses réseau, aux pare-feu dynamiques, etc. »