Investigadores de seguridad de Akamai, Cloudflare, Lumen Black Lotus Labs, Mitel, Netscour, Team Cymru, Telus y The Shadowserver Foundation han revelado ataques de denegación de servicio con una tasa de amplificación que supera los 4 000 millones a uno que puede lanzarse desde un solo paquete.
Apodada CVE-2022-26143, la falla reside en alrededor de 2600 sistemas Mitel MiCollab y MiVoice Business Express aprovisionados incorrectamente que actúan como puertas de enlace de PBX a Internet y tienen un modo de prueba que no debe estar expuesto a Internet.
«Se puede abusar de la instalación de prueba del sistema expuesto para lanzar un ataque DDoS sostenido de hasta 14 horas de duración por medio de un solo paquete de inicio de ataque falsificado, lo que resulta en una tasa de amplificación de paquetes sin precedentes de 4,294,967,296: 1», una publicación de blog en Shadowserver explica.
«Cabe señalar que esta capacidad de iniciación de ataques de un solo paquete tiene el efecto de impedir que el operador de la red rastree el tráfico del iniciador del ataque falsificado. Esto ayuda a enmascarar la infraestructura de generación del tráfico del ataque, lo que hace menos probable que se pueda rastrear el origen del ataque en comparación con otros vectores de ataque DDoS de reflexión/amplificación UDP».
Un controlador en los sistemas de Mitel contiene un comando que realiza una prueba de esfuerzo de los paquetes de actualización de estado y, en teoría, puede producir 4 294 967 294 paquetes en 14 horas con un tamaño máximo posible de 1184 bytes.
«Esto produciría una avalancha sostenida de poco menos de 393 Mbps de tráfico de ataque desde un solo reflector/amplificador, todo como resultado de un solo paquete iniciador de ataque falsificado de solo 1119 bytes de longitud», dice el blog.
«Esto da como resultado una relación de amplificación casi inimaginable de 2,200,288,816:1, un multiplicador de 220 mil millones por ciento, activado por un solo paquete».
Afortunadamente, resulta que el sistema Mitel solo puede procesar un solo comando a la vez, por lo que si un sistema se usa para DDoS, los usuarios reales pueden preguntarse por qué no está disponible y la conexión saliente se está empapando, afirma el blog.
Además de actualizar los sistemas, los usuarios de Mitel pueden detectar y bloquear el tráfico entrante inapropiado en el puerto UDP 10074 con herramientas de defensa de red estándar, agrega. Se recomienda a aquellos en el extremo receptor del ataque que utilicen defensas DDoS.
Los primeros ataques que utilizaron el exploit comenzaron el 18 de febrero, estos se reflejaron principalmente en los puertos 80 y 443, y se dirigieron a ISP, instituciones financieras y empresas de logística.