Hackeři zneužívají zařízení Mitel k zesílení útoků DDoS

Zpět na blog

Aktéři hrozeb zneužívají metodu reflection/amplifications, která má vysoký účinek, k inscenování trvalých útoků typu DDoS (distributed denial-of-service). S využitím této metody byl zaznamenán útok probíhající až 14 hodin s rekordním poměrem zesílení 4 294 967 296 ku 1. Tento poměr je v současnosti rekordní.

Vektor útoku – nazvaný TP240PhoneHome (CVE-2022-26143) – byl určen k provádění významných útoků DDoS zaměřených na poskytovatele širokopásmového přístupu k internetu, finanční instituce, logistické společnosti, herní firmy a další organizace.

Útoky DDoS reflection obvykle zahrnují podvržení IP adresy oběti za účelem přesměrování odpovědí od cíle, jako je server DNS, NTP nebo CLDAP, takovým způsobem, že odpovědi odeslané podvrženému odesílateli jsou mnohem větší než požadavky, což vede k úplné nedostupnosti služby.

První náznaky útoků byly zjištěny 18. února 2022 s využitím systémů pro spolupráci MiCollab a MiVoice Business Express společnosti Mitel jako reflektorů DDoS, a to díky neúmyslnému vystavení neověřeného testovacího zařízení veřejnému internetu.

Tento konkrétní vektor útoku se liší od většiny metod útoků typu UDP reflection/amplification tím, že vystavené testovací zařízení systému lze zneužít k zahájení trvalého útoku DDoS v trvání až 14 hodin pomocí jediného podvrženého iniciačního paketu útoku, což mělo za následek zmíněný rekordní poměr zesílení paketů 4 294 967 296:1.

Útoky konkrétně využívají ovladač s názvem tp240dvr („ovladač TP-240“), který je určen k naslouchání příkazům na portu UDP 10074 a „není určen k tomu, aby byl vystaven internetu,“ vysvětlila společnost Akamai a dodala: „Právě toto vystavení internetu nakonec umožňuje jeho zneužití.“

Předcházení narušení bezpečnosti dat

„Zkoumání binárního souboru tp240dvr odhalilo, že vzhledem k jeho konstrukci může útočník teoreticky způsobit, že služba vyšle 2 147 483 647 odpovědí na jediný škodlivý příkaz. Každá odpověď generuje na vedení dva pakety, což vede k tomu, že směrem k oběti útoku směřuje přibližně 4 294 967 294 zesílených útočných paketů.“

V reakci na toto zjištění společnost Mitel vydala aktualizace softwaru, které znemožňují veřejný přístup k testovací funkci, a zároveň problém popsala jako zranitelnost řízení přístupu, kterou lze zneužít k získání citlivých informací.

„Vedlejší dopady útoků odrazem/zesílením TP-240 jsou potenciálně významné pro organizace se systémy pro spolupráci Mitel MiCollab a MiVoice Business Express vystavenými internetu, které jsou zneužívány pro DDoS útoky,“ uvedla společnost.

To může zahrnovat částečné nebo úplné přerušení hlasové komunikace prostřednictvím těchto systémů, stejně jako další narušení služeb v důsledku spotřeby tranzitní kapacity, vyčerpání stavových tabulek překladů síťových adres, stavových firewallů atd.

Zdroj: The Hacker News

14. 3. 2022