Les chercheurs en cybersécurité ont découvert une faille très puissante dans les systèmes Mitel MiCollab et MiVoice Business Express qui pourrait permettre des attaques par déni de service distribué (DDoS), amplifiée par un facteur de 4,294,967,296 1 XNUMX XNUMX:XNUMX.
Des chercheurs en sécurité d'Akamai, Cloudflare, Lumen Black Lotus Labs, Mitel, Netscour, Team Cymru, Telus et The Shadowserver Foundation ont découvert la faille CVE-2022-26143 dans plus de 2600 XNUMX systèmes sous-provisionnés. Ceux-ci agissent comme des passerelles PBX vers Internet et sont livrés avec un mode d'essai qui ne devrait pas avoir accès à Internet.
Lorsque vous avez accès à Internet, les problèmes commencent.
"L'installation de test du système exposé peut être exploitée pour lancer une attaque DDoS soutenue pouvant durer jusqu'à 14 heures à l'aide d'un seul paquet de démarrage d'attaque falsifié, ce qui entraîne un taux d'amplification du paquet d'enregistrement de 4,294,967,296 1 XNUMX XNUMX:XNUMX", a expliqué Shadowserver dans un article de blog.
désactiver le système
« Il convient de noter que cette capacité d'initiation d'attaque par paquet unique a pour effet d'empêcher l'opérateur du réseau de suivre le trafic provenant de l'initiateur d'attaque falsifié. vecteurs d'attaque DDoS de réflexion/amplification".
En d'autres termes, un acteur malveillant peut abuser d'un pilote sur le système Mitel, l'amenant à stresser les packages de mise à jour de l'état des tests. Comme le système Mitel peut produire jusqu'à 4.294.967.294 14 1184 XNUMX paquets sur XNUMX heures avec une taille maximale possible de XNUMX octets, cela en fait une machine DDoS très puissante contre n'importe quel hébergeur.
"Cela produirait un flux soutenu d'un peu moins de 393 Mbps de trafic d'attaque à partir d'un seul réflecteur/amplificateur, le tout à la suite d'un seul paquet d'initiateur d'attaque usurpé de seulement 1119 octets", explique la société. "Cela se traduit par un rapport d'amplification presque inimaginable de 2.200.288.816 1 220 XNUMX:XNUMX, un multiplicateur de XNUMX milliards de pour cent, alimenté par un seul boîtier."
La doublure argentée ici est le fait qu'un système Mitel ne peut être exécuté que sur une seule commande à la fois, donc l'utiliser pour DDoS un hôte Web le rendrait inutile pour autre chose, et quelqu'un l'attrapera sûrement le plus tôt possible. .
Le correctif est maintenant disponible, il est donc conseillé à tous les utilisateurs de systèmes Mitel de l'appliquer immédiatement. Ceux qui ne peuvent pas agir rapidement peuvent également bloquer tout trafic malveillant arrivant sur le port UDP 10074, avec les outils à leur disposition.
La faille a déjà été utilisée dans la nature, ciblant les institutions financières et les entreprises de logistique.
Via: ZDNet