Investigadores de seguridad de Akamai, Cloudflare, Lumen Black Lotus Labs, Mitel, Netscour, Team Cymru, Telus y The Shadowserver Foundation han descubierto ataques de denegación de servicio (DDoS por sus siglas en inglés) con un rango de amplificación inmenso: supera los 4.000 millones a 1 y se pueden lanzar desde un solo paquete. Este DDoS ha sido bautizado como CVE-2022-26143.
El fallo reside en unos 2.600 sistemas Mitel MiCollab y MiVoice Business Express que están incorrectamente aprovisionados y, por este motivo, actúan como pasarelas de centralita a Internet y tienen un modo de prueba que no debería estar expuesto a Internet. En su blog, la Fundación Shadowserver explica que la instalación de prueba "puede ser usada para lanzar un ataque DDoS de hasta 14 horas de duración por medio de un único paquete, lo que resulta en una relación de amplificación de paquetes que establece un récord de 4.294.967.296:1".
Gran fuerza para impedir el rastreo
Los investigadores han explicado, además, que "hay que señalar que esta capacidad de iniciación de ataques con un solo paquete tiene el efecto de impedir el rastreo por parte de los operadores de red para conocer quién inició los ataques falsos. Esto ayuda a enmascarar la infraestructura de generación de tráfico de ataque, haciendo menos probable que el origen del ataque pueda ser rastreado"
Un controlador en los sistemas de Mitel contiene un comando. Este puede producir teóricamente 4.294.967.294 paquetes a lo largo de 14 horas con un tamaño máximo posible de 1.184 bytes.
Además de actualizar los sistemas, los usuarios de Mitel pueden detectar y bloquear el tráfico entrante inapropiado en el puerto UDP 10074 con herramientas estándar de defensa de la red. Se aconseja a quienes reciban el ataque que utilicen herramientas específicas de defensa para DDoS.
Mitel ha publicado actualizaciones de software que deshabilitan el acceso público a la función de prueba, al tiempo que describió el problema como una vulnerabilidad de control de acceso que podría ser explotada para obtener información sensible.
Los primeros ataques que utilizaron el exploit comenzaron el 18 de febrero y se dirigieron a instituciones financieras, empresas de logística y de gaming.
Vía | ZDnet
Ver 2 comentarios