O ataque DDoS “in-the-wild” pode ser lançado a partir de um único pacote para criar terabytes de tráfego

Apelidada de CVE-2022-26143, a falha reside em cerca de 2.600 sistemas Mitel MiCollab e MiVoice Business Express provisionados incorretamente que atuam como gateways de PBX para a Internet e têm um modo de teste que não deve ser exposto à Internet.

“A instalação de teste do sistema exposto pode ser abusada para lançar um ataque DDoS sustentado de até 14 horas de duração por meio de um único pacote de iniciação de ataque falsificado, resultando em uma taxa de amplificação de pacote recorde de 4.294.967.296: 1”, uma postagem no blog no Shadowserver explica.

“Deve-se notar que esse recurso de iniciação de ataque de pacote único tem o efeito de impedir o rastreamento do operador de rede do tráfego do iniciador de ataque falsificado. Isso ajuda a mascarar a infraestrutura de geração de tráfego de ataque, tornando menos provável que a origem do ataque possa ser rastreada em comparação com outros vetores de ataque DDoS de reflexão/amplificação de UDP.”

Um driver nos sistemas Mitel contém um comando que executa um teste de estresse de pacotes de atualização de status e pode, teoricamente, produzir 4.294.967.294 pacotes em 14 horas com um tamanho máximo possível de 1.184 bytes.

“Isso geraria uma inundação sustentada de pouco menos de 393 Mbps de tráfego de ataque de um único refletor/amplificador, tudo resultante de um único pacote iniciador de ataque falsificado de apenas 1.119 bytes de comprimento”, diz o blog.

“Isso resulta em uma taxa de amplificação quase inimaginável de 2.200.288.816:1 – um multiplicador de 220 bilhões por cento, acionado por um único pacote”.

Felizmente, o sistema Mitel só pode processar um único comando por vez, portanto, se um sistema estiver sendo usado para DDoS, os usuários reais podem se perguntar por que ele está indisponível e a conexão de saída está sendo absorvida, afirma o blog.

Além de atualizar os sistemas, os usuários da Mitel podem detectar e bloquear tráfego de entrada inadequado na porta UDP 10074 com ferramentas padrão de defesa de rede, acrescenta. Aqueles na extremidade receptora do ataque são aconselhados a usar defesas DDoS.

Os primeiros ataques usando o exploit começaram em 18 de fevereiro, refletindo-se principalmente nos portos 80 e 443, e direcionados a ISPs, instituições financeiras e empresas de logística.

Fonte: https://www.zdnet.com/