I ricercatori della sicurezza informatica hanno scoperto una falla molto potente nei sistemi Mitel MiCollab e MiVoice Business Express che potrebbe consentire attacchi DDoS (Distributed Denial of Service), amplificato di un fattore di 4,294,967,296:1.
I ricercatori di sicurezza di Akamai, Cloudflare, Lumen Black Lotus Labs, Mitel, Netscor, Team Cymru, Telus e The Shadowserver Foundation hanno scoperto il difetto CVE-2022-26143 in circa 2600 sistemi con provisioning insufficiente. Questi fungono da gateway PBX a Internet e sono dotati di una modalità di prova che non dovrebbe avere accesso a Internet.
Quando hai accesso a Internet, iniziano i problemi.
"La struttura di test del sistema esposto può essere sfruttata per lanciare un attacco DDoS prolungato della durata massima di 14 ore utilizzando un singolo pacchetto di avvio dell'attacco contraffatto, risultando in un rapporto di amplificazione del pacchetto di registrazione di 4,294,967,296:1", ha spiegato Shadowserver in un post sul blog.
disabilitare il sistema
“Va notato che questa capacità di avvio dell'attacco a pacchetto singolo ha l'effetto di impedire all'operatore di rete di tracciare il traffico dall'iniziatore dell'attacco contraffatto. riflessione/amplificazione vettori di attacco DDoS".
In altre parole, un attore malintenzionato può abusare di un driver sul sistema Mitel, provocando lo stress test dei pacchetti di aggiornamento dello stato. Poiché il sistema Mitel può produrre fino a 4.294.967.294 pacchetti in 14 ore con una dimensione massima possibile di 1184 byte, questo lo rende una macchina DDoS molto potente contro qualsiasi host web.
"Ciò produrrebbe un flusso sostenuto di poco meno di 393 Mbps di traffico di attacco da un singolo riflettore/amplificatore, il tutto come risultato di un singolo pacchetto iniziatore di attacco contraffatto di soli 1119 byte", spiega la società. "Questo si traduce in un rapporto di amplificazione quasi inimmaginabile di 2.200.288.816:1, un moltiplicatore di 220 miliardi percento, alimentato da un singolo pacchetto."
Il lato positivo qui è il fatto che un sistema Mitel può essere eseguito solo su un comando alla volta, quindi usarlo per DDoS su un host web lo renderebbe inutile per qualsiasi altra cosa e qualcuno sicuramente lo catturerà prima piuttosto che dopo. .
La patch è ora disponibile, quindi si consiglia a tutti gli utenti dei sistemi Mitel di applicarla immediatamente. Coloro che non sono in grado di agire rapidamente possono anche bloccare il traffico dannoso in arrivo sulla porta UDP 10074, con gli strumenti a loro disposizione.
Il difetto è già stato utilizzato in natura, prendendo di mira istituzioni finanziarie e società di logistica.
Via: ZDNet