На этой неделе эксперты компании Akamai обнаружили уникальный вектор усиления DDoS-атак, который позволяет добиться отражения или усиления атаки с коэффициентом 4,3 миллиарда к одному.
Новый вектор атак основывается на злоупотреблении незащищенными системами Mitel MiCollab и MiVoice Business Express, которые работают как шлюзы между виртуальными АТС и интернетом и имеют опасный тестовый режим, который не должен быть доступен извне. Такие девайсы и могут служить рефлекторами и усилителями DDoS-атак.
Новым атакам присвоили название TP240PhoneHome (CVE-2022-26143 ), и сообщается, что они уже использовались для запуска DDoS’а, нацеленного на интернет-провайдеров, финансовые учреждения, логистические компании, игровые фирмы и другие организации.
Исследователи рассказывают, что злоумышленники злоупотребляют упомянутой уязвимостью CVE-2022-26143 в драйвере, используемом устройствами Mitel, которые оснащены интерфейсом VoIP TP-240 (например, MiVoice Business Express и MiCollab).
«Атакуемый сервис в уязвимых системах Mitel называется tp240dvr (TP-240 driver) и работает как программный мост для облегчения взаимодействия с интерфейсными картами обработки VoIP TP-240, — объясняют эксперты Akamai. — Демон прослушивает команды на порту UDP10074 и не предназначен для доступа в интернет, что подтверждает и сам производитель этих устройств. Но именно воздействие из интернета в конечном итоге позволяет злоупотреблять [уязвимостью]».
Дело в том, что упомянутый драйвер содержит команду генерации трафика, которая нужна для стресс-тестирования клиентов и обычно используется для отладки и тестов производительности. Злоупотребляя этой командой, злоумышленники могут генерировать мощные потоки трафика с этих устройств. К тому же эта проблемная команда активна по умолчанию.
Специалисты обнаружили в интернете около 2600 незащищенных устройств Mitel, которые уязвимы для атак и могут использоваться для усиления DDoS, причем подобная атака может длиться порядка 14 часов.
Первые признаки атак с использованием устройств Mitel были замечены еще 8 января 2022 года, а первые атаки с использованием уязвимого драйвера начались 18 февраля 2022 года.
«Зафиксированные атаки в основном основывались на количестве пакетов в секунду и, по-видимому, представляли собой атаки на отражение и усиление UDP, исходящие с UDP 10074 и направленные на порты UDP 80 и UDP 443, — гласит отчет. — Пока единственная крупная атака такого типа достигла примерно 53 млн пакетов в секунду и 23 Гб/сек. Средний размер пакета для этой атаки составлял примерно 60 байт, а продолжительность атаки составляла примерно ~ 5 минут.
Этот конкретный вектор атак отличается от большинства атак с отражением и усилением UDP тем, что уязвимость может использоваться для запуска устойчивой DDoS-атаки продолжительностью до 14 часов с помощью всего одного поддельного пакета, что приводит к рекордному коэффициенту усиления 4 294 967 296:1».
Разработчики Mitel уже выпустили обновления для своего ПО, которые отключают публичный доступ к тестовой функции. В целом проблему в компании описывают как уязвимость контроля доступа, которую можно использовать для получения конфиденциальной информации, а усиление DDoS-атак называют лишь побочным эффектом.
