DdoS : une faille permet un facteur d’amplification record

by admin
DdoS : une faille permet un facteur d'amplification record

Des chercheurs en sécurité d’Akamai, Cloudflare, Lumen Black Lotus Labs, Mitel, de Netscour, Team Cymru, Telus et The Shadowserver Foundation ont révélé des attaques par déni de service dont le taux d’amplification dépasse 4 milliards contre un et qui peuvent être lancées à partir d’un seul paquet.

Baptisée CVE-2022-26143, la faille réside dans environ 2 600 systèmes Mitel MiCollab et MiVoice Business Express incorrectement configurés, qui agissent comme des passerelles PBX vers Internet et disposent d’un mode de test qui ne devrait pas être exposé sur Internet.

publicité

“Ce mode de test peut être utilisé de manière abusive pour lancer une attaque DDoS soutenue d’une durée maximale de 14 heures au moyen d’un seul paquet malveillant usurpé, ce qui permet d’obtenir un taux d’amplification de paquets record de 4 294 967 296:1”, explique un article de blog de la Shadowserver Foundation, un organisme à but non lucratif dédié à la sécurité informatique.

“Il convient de noter que ces attaques exploitant un seul paquet initial ont pour effet d’empêcher l’opérateur réseau de retracer l’origine de l’attaque. Cela permet de masquer l’infrastructure de génération du trafic d’attaque, rendant plus difficile la traçabilité de l’origine de l’attaque par rapport à d’autres vecteurs d’attaque DDoS de type réflexion/amplification UDP.”

Un driver dans les systèmes Mitel contient une commande qui effectue un stress test des paquets de mise à jour d’état. Ce driver peut théoriquement produire 4 294 967 294 paquets sur 14 heures à une taille maximale possible de 1 184 octets.

“Cela produirait un trafic soutenu d’un peu moins de 393 Mb/s de trafic d’attaque à partir d’un seul réflecteur/amplificateur, le tout résultant d’un seul paquet’initiateur d’une longueur de seulement 1 119 octets”, indique le blog.

“Il en résulte un taux d’amplification presque inimaginable de 2 200 288 816:1 — un multiplicateur de 220 milliards de pour cent, déclenché par un seul paquet.”

Heureusement, il s’avère que le système Mitel ne peut traiter qu’une seule commande à la fois, donc si un système est utilisé pour le DDoS, les utilisateurs réels peuvent se demander pourquoi il est indisponible et la connexion sortante est saturée, indique le blog.

Outre la mise à jour des systèmes, les utilisateurs de Mitel peuvent détecter et bloquer le trafic entrant inapproprié sur le port UDP 10074 avec des outils de défense réseau standard, ajoute-t-il.

Les premières attaques utilisant l’exploit ont commencé le 18 février, elles se sont répercutées principalement sur les ports 80 et 443, et ont ciblé des FAI, des institutions financières et des entreprises de logistique.

Source : “ZDNet.com”

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading