Bedrohungsakteure wurden dabei beobachtet, wie sie eine hochwirksame Reflektions-/Verstärkungsmethode missbrauchten, um anhaltende DDoS-Angriffe (Distributed Denial of Service) von bis zu 14 Stunden mit einem rekordverdächtigen Verstärkungsverhältnis von 4.294.967.296 zu 1 durchzuführen.
Der Angriffsvektor mit der Bezeichnung TP240PhoneHome (CVE-2022-26143) wurde als Waffe eingesetzt, um umfangreiche DDoS-Angriffe auf Breitband-Internetanbieter, Finanzinstitute, Logistikunternehmen, Glücksspielfirmen und andere Organisationen zu starten.
„Ungefähr 2.600 Mitel MiCollab und MiVoice Business Express Collaboration-Systeme, die als PBX-zu-Internet-Gateways fungieren, wurden fälschlicherweise mit einer missbräuchlichen Systemtestanlage eingesetzt, die dem öffentlichen Internet ausgesetzt war“, so Akamai-Forscher Chad Seaman in einem gemeinsamen Advisory.
„Die Angreifer nutzten diese Systeme aktiv aus, um Reflection/Amplification DDoS-Angriffe mit mehr als 53 Millionen Paketen pro Sekunde (PPS) zu starten.
Bei DDoS-Reflection-Angriffen wird in der Regel die IP-Adresse eines Opfers gefälscht, um die Antworten von einem Ziel wie einem DNS-, NTP- oder CLDAP-Server so umzuleiten, dass die an den gefälschten Absender gesendeten Antworten viel größer sind als die Anfragen, was zu einer vollständigen Unerreichbarkeit des Dienstes führt.
Die ersten Anzeichen der Angriffe sollen am 18. Februar 2022 entdeckt worden sein, als die Mitel Collaboration-Systeme MiCollab und MiVoice Business Express als DDoS-Reflektoren genutzt wurden.
„Dieser spezielle Angriffsvektor unterscheidet sich von den meisten UDP-Reflection/Amplification-Angriffsmethoden, da die exponierte Testanlage dazu missbraucht werden kann, einen anhaltenden DDoS-Angriff von bis zu 14 Stunden Dauer mit einem einzigen gefälschten Angriffspaket zu starten, was zu einem rekordverdächtigen Paketverstärkungsverhältnis von 4.294.967.296:1 führt.
Die Angriffe nutzen einen Treiber namens tp240dvr („TP-240-Treiber“), der auf dem UDP-Port 10074 auf Befehle wartet und „eigentlich nicht für das Internet gedacht ist“, erklärt Akamai und fügt hinzu: „Es ist diese Offenheit für das Internet, die den Missbrauch ermöglicht.
„Die Untersuchung der tp240dvr-Binärdatei zeigt, dass ein Angreifer den Dienst theoretisch dazu bringen kann, 2.147.483.647 Antworten auf einen einzigen bösartigen Befehl auszusenden. Jede Antwort erzeugt zwei Pakete auf der Leitung, was dazu führt, dass etwa 4.294.967.294 verstärkte Angriffspakete an das Angriffsopfer gerichtet werden.“
Als Reaktion auf die Entdeckung veröffentlichte Mitel am Dienstag Software-Updates, die den öffentlichen Zugriff auf die Testfunktion deaktivieren und das Problem als Schwachstelle in der Zugriffskontrolle beschreiben, die ausgenutzt werden könnte, um sensible Informationen zu erhalten.
„Die kollateralen Auswirkungen der TP-240 Reflexions-/Verstärkungsangriffe sind für Unternehmen mit internetfähigen Mitel MiCollab- und MiVoice Business Express-Kollaborationssystemen, die als DDoS-Reflektoren/Verstärker missbraucht werden, potenziell erheblich“, so das Unternehmen.
„Dies kann zu einer teilweisen oder vollständigen Unterbrechung der Sprachkommunikation über diese Systeme sowie zu zusätzlichen Serviceunterbrechungen aufgrund des Verbrauchs von Transitkapazitäten, der Erschöpfung von Netzwerkadressübersetzungen, Stateful Firewalls usw. führen.