Các tác nhân đe dọa đã được quan sát thấy lạm dụng phương pháp phản xạ / khuếch đại tác động cao để tạo ra các cuộc tấn công từ chối dịch vụ phân tán (DDoS) được duy trì trong tối đa 14 giờ với tỷ lệ khuếch đại phá kỷ lục là 4,294,967,296 trên 1.
Vectơ tấn công – được lồng tiếng TP240 Điện thoại (CVE-2022-26143) – đã được vũ khí hóa để khởi động các cuộc tấn công ddos quan trọng nhắm vào các ISP truy cập băng thông rộng, các tổ chức tài chính, công ty hậu cần, công ty trò chơi và các tổ chức khác.
Nhà nghiên cứu Chad Seaman của Akamai cho biết: “Khoảng 2.600 hệ thống cộng tác Mitel MiCollab và MiVoice Business Express hoạt động như các cổng PBX-to-Internet đã được triển khai không chính xác với một cơ sở kiểm tra hệ thống có thể lạm dụng được tiếp xúc với Internet công cộng.
“Những kẻ tấn công đã tích cực tận dụng các hệ thống này để khởi động các cuộc tấn công DDoS phản xạ / khuếch đại hơn 53 triệu gói tin mỗi giây (PPS).”
Các cuộc tấn công phản ánh DDoS thường liên quan đến việc giả mạo địa chỉ IP của nạn nhân để chuyển hướng phản hồi từ một mục tiêu như máy chủ DNS, NTP hoặc CLDAP theo cách mà các phản hồi được gửi đến người gửi giả mạo lớn hơn nhiều so với yêu cầu, dẫn đến hoàn toàn không thể truy cập của dịch vụ.
Dấu hiệu đầu tiên của các cuộc tấn công được cho là đã được phát hiện vào ngày 18 tháng 2 năm 2022 bằng cách sử dụng hệ thống cộng tác MiCollab và MiVoice Business Express của Mitel làm phản ánh DDoS, do sự vô tình của cơ sở thử nghiệm chưa được xác thực với internet công cộng.
“Vectơ tấn công cụ thể này khác với hầu hết các phương pháp tấn công phản xạ / khuếch đại UDP ở chỗ cơ sở kiểm tra hệ thống bị lộ có thể bị lạm dụng để khởi động một cuộc tấn công DDoS kéo dài trong thời gian lên đến 14 giờ bằng một gói bắt đầu tấn công giả mạo duy nhất, dẫn đến tỷ lệ khuếch đại gói thiết lập kỷ lục là 4,294,967,296: 1. “
Cụ thể, các cuộc tấn công vũ khí hóa một trình điều khiển có tên tp240dvr (“Trình điều khiển TP-240”) được thiết kế để lắng nghe các lệnh trên cổng UDP 10074 và “không có nghĩa là để tiếp xúc với Internet”, Akamai giải thích, thêm “Đó là sự tiếp xúc này với Internet cuối cùng cho phép nó bị lạm dụng. “
“Kiểm tra tệp nhị phân tp240dvr cho thấy rằng, do thiết kế của nó, kẻ tấn công về mặt lý thuyết có thể khiến dịch vụ phát ra 2.147.483.647 phản hồi cho một lệnh độc hại. Mỗi phản hồi tạo ra hai gói trên dây, dẫn đến khoảng 4.294.967.294 gói tấn công khuếch đại được hướng tới nạn nhân của cuộc tấn công. “
Đáp lại phát hiện này, hôm thứ Ba, Mitel đã phát hành bản cập nhật phần mềm vô hiệu hóa quyền truy cập công khai vào tính năng thử nghiệm, đồng thời mô tả vấn đề như một lỗ hổng kiểm soát truy cập có thể bị lợi dụng để lấy thông tin nhạy cảm.
Công ty cho biết: “Tác động phụ của các cuộc tấn công phản xạ / khuếch đại TP-240 có khả năng đáng kể đối với các tổ chức có hệ thống cộng tác Mitel MiCollab và MiVoice Business Express tiếp xúc với internet bị lạm dụng làm bộ phản xạ / bộ khuếch đại DDoS,” công ty cho biết.
“Điều này có thể bao gồm gián đoạn một phần hoặc toàn bộ thông tin liên lạc bằng giọng nói qua các hệ thống này, cũng như gián đoạn dịch vụ bổ sung do tiêu thụ dung lượng truyền tải, cạn kiệt bảng trạng thái của bản dịch địa chỉ mạng, tường lửa trạng thái, v.v.”
.
