Мощные DDoS-атаки нацелены на эксплойт нулевого дня в системах Mitel


Исследователи безопасности, сетевые операторы и поставщики средств защиты обнаружили новую уязвимость распределенного отказа в обслуживании (DDoS) с отражением/усилением, которая активно используется для запуска нескольких мощных DDoS-атак. TP240PhoneHome (CVE-2022-26143) обладает рекордным потенциальным коэффициентом усиления 4 294 967 296:1 и может использоваться для злоупотребления системами совместной работы, производимыми Mitel, что может оказать значительное побочное воздействие на бизнес.

Атаки наблюдались на интернет-провайдеров широкополосного доступа, финансовые учреждения, логистические компании, игровые компании и организации на других вертикальных рынках. Компания Mitel выпустила исправленное программное обеспечение, которое отключает испытательный центр, который можно использовать для злоупотреблений, в то время как атаки можно смягчить с помощью стандартных методов защиты от DDoS-атак. Выводы получены в результате совместных исследований и усилий целевой группы по смягчению последствий с участием участников, включая NETSCOUT, Akamai, Cloudflare и Mitel.

DDoS-атаки нацелены на системы MiCollab и MiVoice

В середине февраля 2022 года наблюдался всплеск DDoS-атак, исходящих из порта 10074 протокола пользовательских дейтаграмм (UDP). После дальнейшего расследования было установлено, что для запуска этих атак использовались устройства MiCollab и MiVoice, которые в основном использовались для предоставления голосовая связь между сайтами для систем PBX, согласно сообщению в блоге группы разработки и реагирования ATLAS Safety NETSCOUT (ASERT).

«Примерно 2600 из этих систем были настроены неправильно, так что неавторизованный испытательный центр системы был непреднамеренно открыт для общедоступного Интернета, что позволило злоумышленникам использовать эти VoIP-шлюзы АТС в качестве отражателей / усилителей DDoS», — говорится в сообщении ASERT. Компания Mitel знает об этих проблемах и активно работает с клиентами над устранением неполадок на устройствах.

Vector отличается от большинства методов атаки отражения/усиления UDP.

Наблюдаемые атаки в основном основывались на количестве пакетов в секунду (pps) или пропускной способности и, по-видимому, были атаками отражения/усиления UDP, исходящими из UDP/10074, которые в основном были направлены на порты назначения UDP/80 и UDP/443, пояснил ASERT. Интересно, что ASERT заявил, что этот вектор отличается от большинства методологий UDP-атаки с отражением/усилением тем, что открытая испытательная база системы может быть использована для запуска устойчивой DDoS-атаки продолжительностью до 14 часов с помощью одного поддельного пакета инициации атаки. «Контролируемое тестирование этого вектора DDoS-атаки дало более 400 миллионов пакетов в секунду устойчивого трафика DDoS-атаки».

ASERT также отметил, что эта возможность инициирования атаки с одним пакетом препятствует отслеживанию оператором сети поддельного трафика инициатора атаки, что помогает замаскировать инфраструктуру генерации трафика атаки и сделать менее вероятным отслеживание источника по сравнению с другим отражением UDP. /усиление векторов DDoS-атак.

Авторское право © 2022 IDG Communications, Inc.

https://cyberxhack.org/