Exploração em VoIP amplifica DDoS 4 bilhões de vezes

Um invasor pode teoricamente fazer com que o serviço emita 2.147.483.647 respostas a um único comando malicioso. Cada resposta gera dois pacotes na rede
Da Redação
09/03/2022

Sistemas de colaboração MiCollab e MiVoice Business Express, produzidos pela Mitel, estão sendo explorados como refletores/amplificadores de DDoS: pesquisadores da Cloudflare que participaram dessa descoberta informaram em seu relatório que esse vetor tem uma relação de amplificação que alcança 4.294.967.296 para 1. Atores de ameaças foram observados em ataques sustentados por até 14 horas.

Veja isso
Onda de ataques DDoS tiram do ar sites de ministérios da Ucrânia
Falha no F5 Networks BIG-IP pode permitir ataques DDoS

Os invasores exploram a vulnerabilidade CVE-2022-26143 no driver dos dispositivos Mitel que contêm a interface VoIP TP-240, como o MiVoice Business Express e o MiCollab. O driver contém um comando de geração de tráfego destinado a teste de estresse, usado para depuração e teste de desempenho.

A amplificação por meio desse recurso de teste passível de abuso difere substancialmente de como é realizada com a maioria dos outros vetores DDoS de reflexão/amplificação de UDP. Normalmente, os ataques de reflexão/amplificação exigem que o invasor transmita continuamente cargas maliciosas para nós passíveis de abuso pelo tempo que desejar atacar a vítima. No caso da reflexão/amplificação do TP-240, essa transmissão contínua não é necessária para lançar ataques DDoS de alto impacto.

Em vez disso, um invasor aproveitando a reflexão/amplificação do TP-240 pode lançar um ataque DDoS de alto impacto usando um único pacote. O exame do binário tp240dvr revela que, devido ao seu design, um invasor pode teoricamente fazer com que o serviço emita 2.147.483.647 respostas a um único comando malicioso. Cada resposta gera dois pacotes na rede, levando a aproximadamente 4.294.967.294 pacotes de ataque amplificados direcionados à vítima do ataque.

O relatório pode ser encontrado em “https://blog.cloudflare.com/cve-2022-26143/”

Com agências de notícias internacionais


Compartilhar:

Últimas Notícias