-
09/04/2020
-
85
-
554 bài viết
Thiết bị Mitel bị lợi dụng làm vector tấn công DDoS với tỷ lệ khuếch đại kỷ lục
Các sản phẩm hợp tác dành cho doanh nghiệp của Mitel đã bị lợi dụng như một vector trong các cuộc tấn công từ chối dịch vụ phân tán (DDoS) với tỷ lệ khuếch đại kỷ lục.
Các nhà nghiên cứu từ Akamai, Cloudflare, Lumen, NETSCOUT, Team Cymru, TELUS và The Shadowserver Foundation đã phân tích các cuộc tấn công và công bố phát hiện này trên một bài blog. Còn Mitel cũng đã phát hành một khuyến cáo và thông báo an ninh về tác động của lỗ hổng đến các thiết bị của hãng.
Kẻ tấn công đã lợi dụng việc các hệ thống cộng tác giữa Mitel MiCollab và MiVoice Business Express được cung cấp không chính xác. Các thiết bị mục tiêu đã kết hợp các thẻ giao diện xử lý VoIP TP-240 và chúng chủ yếu được sử dụng để kết nối thoại site-to-site dựa trên internet cho các hệ thống PBX.
Trong khi hàng chục nghìn thiết bị Mitel được triển khai trong các tổ chức chính phủ và khối tư nhân trên toàn thế giới, các nhà nghiên cứu mới chỉ xác định được khoảng 2.600 hệ thống được cung cấp không chính xác và để lộ ra ngoài internet.
Phương thức tấn công có tên là TP240PhoneHome và lỗ hổng có mã định danh CVE-2022-26143.
Các nhà nghiên cứu cho biết: "Dịch vụ bị lạm dụng trên thiết bị Mitel là tp240dvr (trình điều khiển TP-240) và dường như chạy như một cầu nối phần mềm để tạo điều kiện tương tác với các thẻ giao diện TDM/VoIP PCI. Dịch vụ lắng nghe các lệnh trên UDP/10074 nhưng không có nghĩa là mở ra ngoài internet, theo xác nhận của các nhà sản xuất. Việc để lộ ra ngoài Internet mới chính là lý do khiến dịch vụ này bị lạm dụng".
ngoài ra: "Dịch vụ tp240dvr cho thấy một lệnh bất thường được tạo ra để kiểm thử khả năng sức chịu đựng (stress test) của hệ thống nhằm tạo điều kiện gỡ lỗi và kiểm tra hiệu suất. Lệnh này có thể bị lạm dụng khiến dịch vụ tp240dvr thực hiện stress test tấn công nạn nhân. Lưu lượng truy cập bao gồm một tỷ lệ cao các gói cập nhật trạng thái thông tin ngắn có khả năng phủ đầu mục tiêu, gây ra tấn công DDoS."
Lưu lượng truy cập mạng liên quan đến dịch vụ bị tấn công đã tăng đột biến vào ngày 8 tháng 1 và ngày 7 tháng 2, nhưng cuộc tấn công đầu tiên được ghi nhận vào ngày 18 tháng 2 năm 2022.
"Vector tấn công cụ thể này khác với hầu hết các phương pháp tấn công phản xạ/khuếch đại UDP ở chỗ cơ sở kiểm tra hệ thống bị lộ có thể phát động một cuộc tấn công DDoS kéo dài trong thời gian lên đến 14 tiếng bằng một gói khởi tạo tấn công giả mạo duy nhất. Một thử nghiệm có kiểm soát đối với vector này đã cung cấp hơn 400 Mpps lưu lượng tấn công DDoS liên tục" - các nhà nghiên cứu cho biết thêm.
Các cuộc tấn công sử dụng kỹ thuật này có thể được giảm thiểu với các giải pháp tiêu chuẩn phòng chống tấn công DDoS. Hãng cũng đã phát hành các bản vá ngay sau đó, đồng thời làm việc với khách hàng và đối tác để cập nhật các hệ thống bị ảnh hưởng.
Trong khuyến cáo, hãng đã xếp hạng "nghiêm trọng" cho lỗ hổng và mô tả đây là lỗi kiểm soát truy cập an ninh có thể bị khai thác cho nhiều mục đích hơn là lưu lượng tấn công DoS liên tục. Mitel cảnh báo rằng kẻ tấn công trái phép từ xa cũng có thể khai thác lỗ hổng để truy cập thông tin nhạy cảm và thực thi mã tùy ý.
Các nhà nghiên cứu từ Akamai, Cloudflare, Lumen, NETSCOUT, Team Cymru, TELUS và The Shadowserver Foundation đã phân tích các cuộc tấn công và công bố phát hiện này trên một bài blog. Còn Mitel cũng đã phát hành một khuyến cáo và thông báo an ninh về tác động của lỗ hổng đến các thiết bị của hãng.
Kẻ tấn công đã lợi dụng việc các hệ thống cộng tác giữa Mitel MiCollab và MiVoice Business Express được cung cấp không chính xác. Các thiết bị mục tiêu đã kết hợp các thẻ giao diện xử lý VoIP TP-240 và chúng chủ yếu được sử dụng để kết nối thoại site-to-site dựa trên internet cho các hệ thống PBX.
Trong khi hàng chục nghìn thiết bị Mitel được triển khai trong các tổ chức chính phủ và khối tư nhân trên toàn thế giới, các nhà nghiên cứu mới chỉ xác định được khoảng 2.600 hệ thống được cung cấp không chính xác và để lộ ra ngoài internet.
Phương thức tấn công có tên là TP240PhoneHome và lỗ hổng có mã định danh CVE-2022-26143.
Các nhà nghiên cứu cho biết: "Dịch vụ bị lạm dụng trên thiết bị Mitel là tp240dvr (trình điều khiển TP-240) và dường như chạy như một cầu nối phần mềm để tạo điều kiện tương tác với các thẻ giao diện TDM/VoIP PCI. Dịch vụ lắng nghe các lệnh trên UDP/10074 nhưng không có nghĩa là mở ra ngoài internet, theo xác nhận của các nhà sản xuất. Việc để lộ ra ngoài Internet mới chính là lý do khiến dịch vụ này bị lạm dụng".
ngoài ra: "Dịch vụ tp240dvr cho thấy một lệnh bất thường được tạo ra để kiểm thử khả năng sức chịu đựng (stress test) của hệ thống nhằm tạo điều kiện gỡ lỗi và kiểm tra hiệu suất. Lệnh này có thể bị lạm dụng khiến dịch vụ tp240dvr thực hiện stress test tấn công nạn nhân. Lưu lượng truy cập bao gồm một tỷ lệ cao các gói cập nhật trạng thái thông tin ngắn có khả năng phủ đầu mục tiêu, gây ra tấn công DDoS."
Lưu lượng truy cập mạng liên quan đến dịch vụ bị tấn công đã tăng đột biến vào ngày 8 tháng 1 và ngày 7 tháng 2, nhưng cuộc tấn công đầu tiên được ghi nhận vào ngày 18 tháng 2 năm 2022.
"Vector tấn công cụ thể này khác với hầu hết các phương pháp tấn công phản xạ/khuếch đại UDP ở chỗ cơ sở kiểm tra hệ thống bị lộ có thể phát động một cuộc tấn công DDoS kéo dài trong thời gian lên đến 14 tiếng bằng một gói khởi tạo tấn công giả mạo duy nhất. Một thử nghiệm có kiểm soát đối với vector này đã cung cấp hơn 400 Mpps lưu lượng tấn công DDoS liên tục" - các nhà nghiên cứu cho biết thêm.
Các cuộc tấn công sử dụng kỹ thuật này có thể được giảm thiểu với các giải pháp tiêu chuẩn phòng chống tấn công DDoS. Hãng cũng đã phát hành các bản vá ngay sau đó, đồng thời làm việc với khách hàng và đối tác để cập nhật các hệ thống bị ảnh hưởng.
Trong khuyến cáo, hãng đã xếp hạng "nghiêm trọng" cho lỗ hổng và mô tả đây là lỗi kiểm soát truy cập an ninh có thể bị khai thác cho nhiều mục đích hơn là lưu lượng tấn công DoS liên tục. Mitel cảnh báo rằng kẻ tấn công trái phép từ xa cũng có thể khai thác lỗ hổng để truy cập thông tin nhạy cảm và thực thi mã tùy ý.
Theo Securityweek
Chỉnh sửa lần cuối: