Een kwetsbaarheid in twee Mitel-systemen kan tot gevolg hebben dat een ddos-packet ruim vier miljard keer vergroot wordt. Daarmee kunnen kwaadwillenden een aanval van maximaal veertien uur starten via een enkel netwerkpakket. De kwetsbaarheid wordt al misbruikt en er is een update.
De kwetsbaarheden zitten in de MiCollab- en MiVoice Business Express-softwarepakketten van Mitel, zeggen onderzoekers van onder meer Cloudflare, Akamai en Mitel. Deze voip-systemen hebben testfunctionaliteit die voor intern gebruik bestemd is en die de systemen kan stresstesten door veel statusupdateverkeer te versturen en zo debugging en performance testing te faciliteren.
Deze TP-240-driver-functionaliteit is echter in ongeveer 2600 systemen verkeerd geconfigureerd, waardoor ook externen de functionaliteit kunnen gebruiken. Kwaadwillenden kunnen zo een commando naar een kwetsbaar Mitel-systeem sturen dat ervoor zorgt dat het voip-systeem grotere statusupdate-packets naar een doelwit stuurt. Zo kunnen ze met een relatief kleine request payload een grote hoeveelheid traffic veroorzaken bij een ddos-doelwit.
De onderzoekers spreken over een packet amplification ratio van bijna 4,3 miljard : 1. Volgens Ars Technica was het vorige record memcached, met een packet amplification ratio van 51.000 : 1. De TP-240-kwetsbaarheid zou met een enkele node in totaal bijna 4,3 miljard attack packets kunnen sturen, waarbij ieder packet wordt versterkt tot een maximale omvang van 1184 bytes. In theorie kan een aanval ongeveer veertien uur duren bij een aanhoudend aantal van 80.000 pakketten per seconde. Gedurende die tijd zou in totaal ruim 2,5TB aan ddos-verkeer op het doelwit gericht worden. Tijdens een ddos-aanval kan het Mitel-systeem niet voor een tweede aanval worden gebruikt.
Niet alle MiCollab- en MiVoice Business Express-systemen zijn vatbaar voor de kwetsbaarheid; het zou om 2600 van de tienduizenden verkochte exemplaren gaan. De systemen zijn onder meer door overheden en grote bedrijven gekocht. De onderzoekers denken dat de exploit voor het eerst op 18 februari is gebruikt.
Criminelen zouden de kwetsbaarheid al in ddos-diensten hebben opgenomen, waardoor de kwetsbaarheid breder gebruikt kan worden. De grootste aanval die tot nu toe is waargenomen, was goed voor ongeveer 53 miljoen pakketten per seconde met een doorvoer van 23Gbit/s aan netwerkverkeer. De gemiddelde pakketgrootte voor die aanval was ongeveer 60 bytes en de aanval duurde ongeveer vijf minuten. Een gecontroleerde test van de onderzoekers van deze ddos-aanvalsvector leverde ruim 400 miljoen pakketten per seconden aan aanhoudend ddos-verkeer op.
Financiële en logistieke bedrijven, en providers zouden al slachtoffer zijn geweest van deze aanvallen. Mitel zegt een update te hebben uitgebracht die het probleem kan oplossen en met bedrijven samen te werken om te voorkomen dat de systemen misbruikt kunnen worden.