Er zijn bedreigingsactoren waargenomen die een krachtige reflectie-/versterkingsmethode misbruiken om aanhoudende DDoS-aanvallen (distributed denial-of-service) tot 14 uur uit te voeren met een recordbrekende versterkingsverhouding van 4.294.967.296 tot 1.
De aanvalsvector – genaamd TP240TelefoonHome (CVE-2022-26143) – is bewapend om significante DDoS-aanvallen te lanceren gericht op ISP’s voor breedbandtoegang, financiële instellingen, logistieke bedrijven, gokbedrijven en andere organisaties.
“Ongeveer 2.600 Mitel MiCollab- en MiVoice Business Express-samenwerkingssystemen die fungeren als PBX-naar-internet-gateways werden onjuist geïmplementeerd met een misbruikbare systeemtestfaciliteit die was blootgesteld aan het openbare internet”, Akamai-onderzoeker Chad Seaman zei in een gewricht adviserend.
“Aanvallers maakten actief gebruik van deze systemen om reflectie/versterking DDoS-aanvallen van meer dan 53 miljoen pakketten per seconde (PPS) te lanceren.”
DDoS-reflectie-aanvallen meestal betrekken het vervalsen van het IP-adres van een slachtoffer om reacties van een doel zoals een DNS-, NTP- of CLDAP-server om te leiden op een zodanige manier dat de antwoorden die naar de vervalste afzender worden gestuurd veel groter zijn dan de verzoeken, wat leidt tot volledige ontoegankelijkheid van de service.
Het eerste teken van de aanvallen zou zijn gedetecteerd op 18 februari 2022 met behulp van Mitel’s MiCollab en MiVoice Business Express-samenwerkingssystemen als DDoS-reflectoren, dankzij de onbedoelde blootstelling van een niet-geverifieerde testfaciliteit aan het openbare internet.
“Deze specifieke aanvalsvector verschilt van de meeste UDP-reflectie-/versterkingsaanvalmethodologieën doordat de blootgestelde systeemtestfaciliteit kan worden misbruikt om een aanhoudende DDoS-aanval van maximaal 14 uur te lanceren door middel van een enkel vervalst aanvalsinitiatiepakket, wat resulteert in een record-setting pakketversterkingsverhouding van 4.294.967.296:1.”
In het bijzonder bewapenen de aanvallen een stuurprogramma genaamd tp240dvr (“TP-240-stuurprogramma”) dat is ontworpen om te luisteren naar commando’s op UDP-poort 10074 en “niet bedoeld is om te worden blootgesteld aan internet”, legde Akamai uit en voegde eraan toe: “Het is deze blootstelling aan het internet waardoor het uiteindelijk kan worden misbruikt.”
“Onderzoek van het binaire bestand tp240dvr onthult dat, vanwege het ontwerp, een aanvaller de service in theorie 2.147.483.647 reacties op een enkel kwaadaardig commando kan laten uitzenden. Elk antwoord genereert twee pakketten op de draad, wat leidt tot ongeveer 4.294.967.294 versterkte aanvalspakketten die naar het slachtoffer van de aanval.”
In reactie op de ontdekking heeft Mitel dinsdag vrijgegeven software-updates dat de openbare toegang tot de testfunctie uitschakelt, terwijl het probleem wordt beschreven als een kwetsbaarheid voor toegangscontrole die kan worden misbruikt om gevoelige informatie te verkrijgen.
“De neveneffecten van reflectie-/versterkingsaanvallen op de TP-240 zijn potentieel aanzienlijk voor organisaties met aan internet blootgestelde Mitel MiCollab- en MiVoice Business Express-samenwerkingssystemen die worden misbruikt als DDoS-reflectoren/versterkers”, aldus het bedrijf.
“Dit kan een gedeeltelijke of volledige onderbreking van spraakcommunicatie via deze systemen omvatten, evenals extra serviceonderbreking als gevolg van het verbruik van transitcapaciteit, uitputting van de netwerkadresvertalingen, stateful firewalls, enzovoort.”
