Depuis plusieurs années, les campagnes par déni de service gagnent en puissance et en intensité grâce aux techniques d’amplification et de réflexion. Un groupe de travail, comprenant Netscout, Akamai, Cloudflare et Mitel, a découvert une autre méthode pour lancer de multiples attaques DDoS à fort impact. Elle s’appuie sur une faille dans les systèmes Mitel, référencée CVE-2022-26143 et nommée TP240PhoneHome. Elle affiche un taux potentiel d’amplification de 4 294 867 296 : 1 et abuse des systèmes de collaboration développés par Mitel.

L’utilisation de la vulnérabilité est active, car des attaques ont été observées chez des fournisseurs d'accès à Internet, des institutions financières, des entreprises de logistique, des sociétés de jeux et des entreprises d'autres marchés verticaux. Un correctif publié par Mitel désactive l'installation de test abusive, et les attaques peuvent être atténuées à l'aide de techniques de défense DDoS standard.

Les systèmes MiCollab et MiVoice ciblés

Un pic d'attaques DDoS provenant du port 10074 du User Datagram Protocol (UDP) a été observé à la mi-février 2022. Selon un article posté sur un blog par l'équipe ATLAS Security Engineering and Response (Asert) de Netscout, une enquête plus approfondie a permis de voir que les attaques étaient lancées à partir d’appareils compromis sur lesquels étaient exécutés les systèmes MiCollab et MiVoice de Mitel, principalement utilisés pour fournir une connectivité vocale site à site basée sur Internet pour les systèmes PBX. « Environ 2 600 de ces systèmes ont été incorrectement provisionnés, de sorte qu'une installation de test de système non authentifiée a été exposée par inadvertance sur Internet, donnant aux attaquants la possibilité d'utiliser ces passerelles PBX VoIP comme réflecteurs/amplificateurs DDoS », a déclaré l'équipe Asert. Mitel est conscient de ces problèmes et travaille activement avec ses clients pour remédier aux dispositifs abusés.

Une méthode inédite d'attaque par réflexion/amplification UDP

« Les attaques observées étaient surtout basées sur les paquets par seconde (pps), ou débit, et ressemblaient à des attaques par réflexion/amplification UDP provenant de l’UDP/10074 et dirigées principalement vers les ports de destination UDP/80 et UDP/443 », a encore expliqué l'équipe Asert. Cependant, elle fait remarquer que le vecteur diffère de la majorité des méthodologies d'attaque par réflexion/amplification UDP, dans la mesure où l'installation de test du système exposée peut être utilisée de manière abusive pour lancer une attaque DDoS soutenue d'une durée maximale de 14 heures via un seul paquet d'initiation d'attaque usurpé.

« Une expérience contrôlée de ce vecteur d'attaque DDoS a produit plus de 400 Mpps (millions de paquets par seconde) de trafic ». Les chercheurs signalent également que cette capacité d'initiation d'attaque par un seul paquet a pour effet d'empêcher le traçage par l'opérateur réseau du trafic d'initiation d'attaque usurpée.

Le pilote TP-240, ciblé via l'exposition à Internet

Le service compromis sur les systèmes Mitel concernés s'appelle tp240dvr (pilote TP-240) et son exposition à Internet offre aux attaquants de l'exploiter pour exécuter un pont logiciel et interagir avec les cartes d'interface PCI TDM/VoIP. « Le service écoute les commandes sur le port UDP/10074 et n'est pas censé être exposé à l'internet, comme l'a confirmé le fabricant de ces terminaux », a déclaré l’équipe Asert. « Le service tp240dvr expose une commande inhabituelle conçue pour réaliser un stress test de ses clients afin de faciliter le débogage et les tests de performance.

Cette commande peut être utilisée de manière abusive pour que le service tp240dvr envoie ce test aux victimes de l'attaque. Le trafic consiste en un taux élevé de courts paquets de mise à jour d'état informatif qui peuvent potentiellement submerger les victimes et provoquer le scénario DDoS ». La commande peut également être utilisée abusivement par les attaquants pour lancer des attaques à très haut débit. Les chercheurs ont pu forcer les dispositifs à générer de grandes quantités de trafic en réponse à des charges utiles de requête comparativement petites.

Des menaces importantes pour les entreprises, malgré la simultanéité limitée des attaques

L’équipe de Nestscout a mis en garde les entreprises dont les systèmes de collaboration Mitel MiCollab et MiVoice Business Express sont exposés à Internet contre des menaces potentiellement importantes. « Ces attaques peuvent provoquer une interruption partielle ou totale des communications vocales via ces systèmes, et une perturbation d’autres services », a-t-elle précisé. « Et ce, malgré le fait que le service tp240dvr ne peut être utilisé que pour lancer une attaque à la fois et que les dispositifs sont sur du matériel relativement peu puissant en termes de capacités de génération de trafic », ont ajouté les experts.

« L'amplification augmente considérablement la puissance des attaques DDoS ; plus l'amplification est grande, plus il est facile de submerger les défenses », a expliqué John Bambenek, chasseur de menaces principal chez Netenrich. « Si vous pouvez envoyer plus de trafic d'attaque que ce qu'une entreprise peut gérer (avec les défenses dont elle dispose), elle est alors mise hors ligne ». Ajoutant que « ce phénomène est fortement accentué en période de conflit géopolitique, car les DDoS sont souvent le premier outil des activistes, des gouvernements et des observateurs en quête de techniques d'attaque ».

Atténuer les risques d'attaques DDoS amplifiées

« Les opérateurs de systèmes de collaboration Mitel MiCollab et MiVoice Business Express basés sur le TP-240 et exposés à Internet peuvent empêcher l'utilisation abusive de leurs systèmes pour lancer des attaques DDoS en bloquant le trafic Internet entrant destiné à UDP/10074 via des ACL, des règles de pare-feu et d'autres mécanismes courants d'application de politiques de contrôle d'accès au réseau », ont encore écrit les chercheurs. De plus, le trafic d'attaque amplifié peut être détecté, classé, tracé et atténué en toute sécurité à l'aide d'outils et de techniques de défense DDoS standard.

« La télémétrie des flux et la capture des paquets via des systèmes d'analyse open source et commerciaux peuvent alerter les opérateurs réseau et les clients finaux », a déclaré l'équipe de Nestscout, tandis que les listes de contrôle d'accès au réseau, les flowspec, les black holes déclenchés à distance en fonction de la destination ou en fonction de la source et les systèmes intelligents d'atténuation DDoS peuvent également être utilisés », ont-ils poursuivi. « Mitel a fourni des versions logicielles corrigées qui empêchent les systèmes de collaboration MiCollab et MiVoice Business Express équipés de TP-240 d'être utilisés de manière abusive comme réflecteurs/amplificateurs DDoS en empêchant l'exposition du service à Internet ».