Chris Duckett APAC Editor
Chris startede sit journalistiske eventyr i 2006 som redaktør for Builder AU, efter han oprindeligt kom til CBS som programmør. Efter et ophold i Canada vendte han tilbage i 2011 som redaktør for TechRepublic Australia og er nu australsk redaktør af ZDNet.
Fuld bio den 9. marts 2022 | Emne: Sikkerhed
Sikkerhedsforskere fra Akamai, Cloudflare, Lumen Black Lotus Labs, Mitel, Netscour, Team Cymru, Telus og The Shadowserver Foundation har afsløret denial-of-service-angreb med et forstærkningsforhold, der overstiger 4 milliarder til et, der kan lanceres fra en enkelt pakke.
Fejlen, der er døbt CVE-2022-26143, ligger i omkring 2.600 forkert leverede Mitel MiCollab- og MiVoice Business Express-systemer, der fungerer som PBX-til-internet-gateways og har en testtilstand, der ikke bør udsættes for internettet.
“Den eksponerede systemtestfacilitet kan misbruges til at starte et vedvarende DDoS-angreb på op til 14 timers varighed ved hjælp af en enkelt spoofet angrebsinitieringspakke, hvilket resulterer i et rekordsættende pakkeforstærkningsforhold på 4.294.967.296:1,” et blogindlæg. på Shadowserver forklarer.
“Det skal bemærkes, at denne enkeltpakke-angrebsinitieringsevne har den virkning, at den udelukker netværksoperatørens sporing af den forfalskede angrebsinitiatortrafik. Dette hjælper med at maskere angrebstrafikgenereringsinfrastrukturen, hvilket gør det mindre sandsynligt, at angrebsoprindelse kan spores sammenlignet med andre UDP-refleksion/amplifikation DDoS-angrebsvektorer.”
En driver i Mitel-systemerne indeholder en kommando, der udfører en stresstest af statusopdateringspakker og teoretisk kan producere 4.294.967.294 pakker over 14 timer ved en maksimal mulig størrelse på 1.184 bytes.
“Dette ville give en vedvarende oversvømmelse på lige under 393 Mbps angrebstrafik fra en enkelt reflektor/forstærker, alt sammen et resultat af en enkelt spoofet angrebsinitiatorpakke på kun 1.119 bytes i længden,” står der på bloggen.
“Dette resulterer i et næsten ufatteligt forstærkningsforhold på 2.200.288.816:1 – en multiplikator på 220 milliarder procent, udløst af en enkelt pakke.”
Heldigvis viser det sig, at Mitel-systemet kun kan behandle en enkelt kommando ad gangen, så hvis et system bliver brugt til DDoS, kan faktiske brugere undre sig over, hvorfor det ikke er tilgængeligt, og den udgående forbindelse er ved at blive gennemblødt, står der i bloggen.
Udover at opdatere systemerne kan Mitel-brugere opdage og blokere upassende indgående trafik på UDP-port 10074 med standardnetværksforsvarsværktøjer, tilføjer den. De, der modtager angrebet, rådes til at bruge DDoS-forsvar.
De første angreb med udnyttelsen begyndte den 18. februar, disse blev hovedsageligt afspejlet på porte 80 og 443 og målrettet internetudbydere, finansielle institutioner og logistikvirksomheder.
Relateret dækning
Viasat siger, at “cyberbegivenhed” forårsager bredbåndsudfald på tværs af Europas ukrainske regeringswebsteder forstyrret af DDoS, visker-malware opdaget.DDoS-angribere har fundet dette nye trick til at vælte websteder Microsoft: Sådan kan vi stoppede det største DDoS-angreb nogensinde. Netværk | Sikkerheds-tv | Datastyring | CXO | Datacentre