Crédit : Dreamstime
Les chercheurs en sécurité, les opérateurs de réseau et les fournisseurs de sécurité ont identifié une nouvelle réflexion /amplification La vulnérabilité de déni de service dispersé (DDoS) est activement utilisée pour lancer plusieurs attaques DDoS à fort impact.
TP240PhoneHome (CVE-2022-26143) a un taux d’amplification potentiel record de 4 294 967 296:1 et peut être ciblé pour abuser des systèmes de partenariat produits par Mitel avec la possibilité d’avoir un impact collatéral considérable sur les entreprises.
Des attaques ont en fait été observées sur l’accès haut débit aux FAI, aux institutions financières, aux entreprises de logistique, aux sociétés de jeux vidéo et aux organisations d’autres marchés verticaux. Mitel a en fait publié une application logicielle corrigée qui désactive le centre de test abusif tandis que les attaques peuvent être atténuées en utilisant des stratégies de défense DDoS de base.
Les résultats proviennent d’un travail collectif de recherche et d’atténuation avec des contributeurs tels que NETSCOUT, Akamai, Cloudflare et Mitel .
Les attaques DDoS ciblent les systèmes MiCollab et MiVoice
Un pic d’attaques DDoS provenant du port UDP (User Datagram Procedure) 10074 a été observé à la mi-février 2022.
Après un examen plus approfondi, il a été découvert que les gadgets abusés pour introduire ces attaques étaient MiCollab et MiVoice, principalement utilisés pour fournir une connectivité vocale de site à site basée sur Internet pour les systèmes PBX, selon un message du groupe d’ingénierie et d’action de sécurité ATLAS (ASERT) de NETSCOUT.
« Environ 2 600 de ces systèmes ont en fait été mal provisionnés, de sorte qu’une installation de test de système non authentifiée a été accidentellement exposée au Web grand public, permettant agresseurs pour tirer parti de ces entrées VoIP PBX en tant que réflecteurs/amplificateurs DDoS », a déclaré l’ASERT. Mitel connaît les problèmes et travaille activement avec les consommateurs pour remédier aux appareils abusifs.
Le vecteur varie de la majorité des techniques d’attaque par réflexion/amplification UDP
Les attaques observées étaient principalement affirmées sur les paquets par seconde (pps), ou le débit, et semblaient des attaques de réflexion/amplification UDP provenant de UDP/10074 qui étaient généralement dirigées vers les ports de localisation UDP/80 et UDP/443, décrit ASERT.
Remarquablement, l’ASERT a déclaré que le vecteur varie de la plupart des méthodes d’attaque par réflexion/amplification UDP, car l’installation de test du système exposée peut être utilisée abusivement pour introduire une attaque DDoS continue d’une durée d’environ 14 heures au moyen d’un seul paquet d’initiation d’attaque usurpé. « Un test contrôlé de ce vecteur d’attaque DDoS a généré plus de 400 Mpps de trafic d’attaque DDoS continu. »
ASERT a également gardé à l’esprit que cette capacité d’initiation d’attaque par paquet unique a pour résultat d’empêcher l’opérateur de réseau de retracer le trafic d’initiateur d’attaque usurpé, qui aide à masquer l’infrastructure de génération de trafic d’attaque et rend moins probable que l’origine soit tracée par rapport à d’autres vecteurs d’attaque DDoS de réflexion/amplification UDP.
Les attaques ciblent TP- 240 chauffeur via une exposition directe sur le Web
Le service abusé sur les systèmes Mitel concernés est appelé tp240dvr (pilote TP-240) et son exposition directe sur Internet permet aux agresseurs de exploitez-le pour exécuter un pont d’application logicielle pour faciliter les interactions avec les cartes d’interface PCI TDM/VoIP.
« Le service écoute les commandes sur UDP/10074 et n’est pas suggéré d’être exposé à Internet, comme l’a confirmé le fabricant de ces appareils », a déclaré ASERT. « Le service tp240dvr expose une commande inhabituelle conçue pour tester ses clients afin d’aider au débogage et aux tests d’efficacité.
» Cette commande peut être utilisée de manière abusive pour déclencher le service tp240dvr afin qu’il envoie ce test de résistance à victimes d’attaques. Le trafic consiste en un taux élevé de courts packages informatifs de mise à jour de statut qui peuvent potentiellement submerger les victimes et provoquer le scénario DDoS. »
La commande peut également être utilisée abusivement par les agresseurs pour introduire des attaques à très haut débit. Les chercheurs ont été capables de forcer les gadgets à générer de grandes quantités de trafic en réaction à des charges utiles de demande relativement faibles.
Menaces importantes pour les organisations malgré une simultanéité d’attaque limitée
Les menaces positionnées aux organisations disposant de systèmes de partenariat Mitel MiCollab et MiVoice Company Express exposés à Internet sont potentiellement importants, a averti l’ASERT.
« Cela peut consister en une perturbation partielle ou totale des communications vocales via ces systèmes, ainsi qu’une perturbation supplémentaire du service en raison de l’apport de capacité de transit, de l’épuisement de la table d’état des traductions d’adresses réseau, des programmes de pare-feu avec état, etc. »
C’est en dépit du fait que le service tp240dvr ne peut être utilisé que pour lancer une attaque à la fois et que les gadgets sont sur un matériel raisonnablement peu puissant en ce qui concerne leurs capacités de génération de trafic, ASERT inclus.
« L’amplification augmente considérablement la force des attaques DDoS ; plus l’amplification est élevée, plus il est simple de submerger les défenses », a déclaré le principal chasseur de dangers de Netenrich, John Bambenek, au CSO. « Si vous pouvez envoyer plus de trafic d’attaque qu’une organisation ne peut en gérer (quelles que soient les défenses dont elle dispose pour les sécuriser), alors elles sont hors ligne. »
Cela est considérablement accru en période de conflit géopolitique, car les attaques DDoS sont souvent le tout premier outil des activistes, des gouvernements fédéraux et des spectateurs à la recherche de méthodes d’attaque, dit-il.
Réduire les dangers des attaques DDoS amplifiées
« Les opérateurs de systèmes de coopération Mitel MiCollab et MiVoice Organization Express exposés à Internet peuvent éviter d’abuser de leurs systèmes pour déclencher des attaques DDoS en bloquant les connexions Internet entrantes le trafic destiné à UDP/10074 au moyen d’ACL, de règles de pare-feu et d’autres accès réseau de base pour contrôler les systèmes d’application des politiques », a écrit ASERT.
Le trafic d’attaque amplifié peut être identifié, classé, tracé et atténué en toute sécurité à l’aide d’outils et de techniques de défense DDoS standard.
« Télémétrie de flux et capture de paquets via des systèmes d’analyse open source et commerciaux peut signaler les opérateurs de réseau et les consommateurs finaux », a déclaré l’ASERT, tandis que les listes de contrôle d’accès au réseau, les spécifications de flux, le trou noir activé basé sur la destination à partir d’un autre emplacement, le trou noir activé à distance basé sur la source et les systèmes intelligents d’atténuation des attaques DDoS peuvent également être utilisés, a-t-il poursuivi. /p>
« Mitel a en fait proposé des versions d’applications logicielles corrigées qui évitent que les systèmes de coopération MiCollab et MiVoice Business Express équipés du TP-240 ne soient utilisés de manière abusive en tant que réflecteurs/amplificateurs DDoS en empêchant l’exposition du service à Internet, et Mitel les clients doivent appeler le fournisseur pour obtenir des instructions de retrait », a déclaré ASERT.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
