Ddos-kwetsbaarheid in Mitel-systemen kan packet 4 miljard keer versterken

Een kwetsbaarheid in twee Mitel-systemen kan tot gevolg hebben dat een ddos-packet ruim vier miljard keer vergroot wordt. Daarmee kunnen kwaadwillenden een aanval van maximaal veertien uur starten via een enkel netwerkpakket. De kwetsbaarheid wordt al misbruikt en er is een update.

De kwetsbaarheden zitten in de MiCollab- en MiVoice Business Express-softwarepakketten van Mitel, zeggen onderzoekers van onder meer Cloudflare, Akamai en Mitel. Deze voip-systemen hebben testfunctionaliteit die voor intern gebruik bestemd is en die de systemen kan stresstesten door veel statusupdateverkeer te versturen en zo debugging en performance testing te faciliteren.

Deze TP-240-driver-functionaliteit is echter in ongeveer 2600 systemen verkeerd geconfigureerd, waardoor ook externen de functionaliteit kunnen gebruiken. Kwaadwillenden kunnen zo een commando naar een kwetsbaar Mitel-systeem sturen dat ervoor zorgt dat het voip-systeem grotere statusupdate-packets naar een doelwit stuurt. Zo kunnen ze met een relatief kleine request payload een grote hoeveelheid traffic veroorzaken bij een ddos-doelwit.

De onderzoekers spreken over een packet amplification ratio van bijna 4,3 miljard : 1. Volgens Ars Technica was het vorige record memcached, met een packet amplification ratio van 51.000 : 1. De TP-240-kwetsbaarheid zou met een enkele node in totaal bijna 4,3 miljard attack packets kunnen sturen, waarbij ieder packet wordt versterkt tot een maximale omvang van 1184 bytes. In theorie kan een aanval ongeveer veertien uur duren bij een aanhoudend aantal van 80.000 pakketten per seconde. Gedurende die tijd zou in totaal ruim 2,5TB aan ddos-verkeer op het doelwit gericht worden. Tijdens een ddos-aanval kan het Mitel-systeem niet voor een tweede aanval worden gebruikt.

Niet alle MiCollab- en MiVoice Business Express-systemen zijn vatbaar voor de kwetsbaarheid; het zou om 2600 van de tienduizenden verkochte exemplaren gaan. De systemen zijn onder meer door overheden en grote bedrijven gekocht. De onderzoekers denken dat de exploit voor het eerst op 18 februari is gebruikt.

Criminelen zouden de kwetsbaarheid al in ddos-diensten hebben opgenomen, waardoor de kwetsbaarheid breder gebruikt kan worden. De grootste aanval die tot nu toe is waargenomen, was goed voor ongeveer 53 miljoen pakketten per seconde met een doorvoer van 23Gbit/s aan netwerkverkeer. De gemiddelde pakketgrootte voor die aanval was ongeveer 60 bytes en de aanval duurde ongeveer vijf minuten. Een gecontroleerde test van de onderzoekers van deze ddos-aanvalsvector leverde ruim 400 miljoen pakketten per seconden aan aanhoudend ddos-verkeer op.

Financiële en logistieke bedrijven, en providers zouden al slachtoffer zijn geweest van deze aanvallen. Mitel zegt een update te hebben uitgebracht die het probleem kan oplossen en met bedrijven samen te werken om te voorkomen dat de systemen misbruikt kunnen worden.

Door Hayte Hugo

Redacteur

Feedback • 09-03-2022 14:04 17

09-03-2022 • 14:04

17

Lees meer

OVHcloud slaat record-ddos-aanval van 840 miljoen packets per seconde af
OVHcloud slaat record-ddos-aanval van 840 miljoen packets per seconde af Nieuws van 5 juli 2024
Cloudflare: afgelopen kwartaal meer dan 4,5 miljoen ddos-aanvallen afgewend
Cloudflare: afgelopen kwartaal meer dan 4,5 miljoen ddos-aanvallen afgewend Nieuws van 17 april 2024
Cloudflare zegt grootste ddos-aanval van 71 miljoen requests per seconde te zien
Cloudflare zegt grootste ddos-aanval van 71 miljoen requests per seconde te zien Nieuws van 14 februari 2023
Italiaanse overheid waarschuwt voor meer ddos-aanvallen van Russische groepen
Italiaanse overheid waarschuwt voor meer ddos-aanvallen van Russische groepen Nieuws van 30 mei 2022
Barracuda: log4j-bug wordt vooral ingezet voor botnets en ddos-aanvallen
Barracuda: log4j-bug wordt vooral ingezet voor botnets en ddos-aanvallen Nieuws van 3 maart 2022
Verschillende Russische overheidssites onbereikbaar na ddos-aanvallen
Verschillende Russische overheidssites onbereikbaar na ddos-aanvallen Nieuws van 25 februari 2022
Websites van Oekraïense overheid zijn opnieuw getroffen door cyberaanval
Websites van Oekraïense overheid zijn opnieuw getroffen door cyberaanval Nieuws van 23 februari 2022
Ddos'er die fiscus, banken en Tweakers aanviel, krijgt 200 uur taakstraf
Ddos'er die fiscus, banken en Tweakers aanviel, krijgt 200 uur taakstraf Nieuws van 22 februari 2022
OM eist 4 maanden voorwaardelijke celstraf voor ddos-aanvallen op overheidssites
OM eist 4 maanden voorwaardelijke celstraf voor ddos-aanvallen op overheidssites Nieuws van 22 december 2021
Anti-ddos-dienst NaWas komt via overeenkomst met BelgiumIX beschikbaar in België
Anti-ddos-dienst NaWas komt via overeenkomst met BelgiumIX beschikbaar in België Nieuws van 20 december 2021
Hostingprovider Hostnet slecht bereikbaar door DNS-storing na ddos-aanval
Hostingprovider Hostnet slecht bereikbaar door DNS-storing na ddos-aanval Nieuws van 29 november 2021
FBI: HelloKitty-ransomwaregroep gebruikt ddos-aanvallen als afpersingstechniek
FBI: HelloKitty-ransomwaregroep gebruikt ddos-aanvallen als afpersingstechniek Nieuws van 2 november 2021
Meer producten en artikelen
Beveiliging en antivirus Mitel Cybercrime Cyberwarfare Ddos Debuggen

Reacties (17)

-Moderatie-faq
17
17
10
1
0
6
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 9 maart 2022 14:19
Een amplification-factor van 4,3 miljard? Terwijl het vorige record 'slechts' 51 duizend is?

... Hoe krijg je in hemelsnaam het voor elkaar de standaardconfiguratie zo slecht in te stellen? Hopelijk stelt Mitel de doelwitten schadeloos, want dit is geen klein foutje meer maar een gigantisch grote fout.
Kees BOFH
@Verwijderd9 maart 2022 14:38
Wat ik zo snel lees is dat het een test-commando betreft:
The tp240dvr service exposes an unusual command that is designed to stress test its clients in order to facilitate debugging and performance testing. This command can be abused to cause the tp240dvr service to send this stress test to attack victims. The traffic consists of a high rate of short informative status update packets that can potentially overwhelm victims and cause the DDoS scenario.
Dus met 1 commando van een paar bytes kun je een ddos aanval opzetten die vele gigabytes en vooral heel veel packets naar je target stuurt.
T-men @Verwijderd9 maart 2022 14:27
Nee, het is een klein foutje, maar de gevolgen kunnen groot zijn.
jaenster @Verwijderd9 maart 2022 14:37
Duidelijk een unsigned int veld van 32 bits,

256 ^ 4 = 4294967296 = *bijna 4.3 miljard*.

edit; Oh @P_Tingen is mij voor

[Reactie gewijzigd door jaenster op 25 juli 2024 12:00]

Rausimous @Verwijderd14 maart 2022 13:41
Het is geen groote fout
Simple gezegt is het op te lossen met 1 firewall line

Het is een systeem om intern te gebruiken? Dat ook extern open gezet is ?

En ja debug logs zijn groot en moeten simple te verkrijgen zijn dus de versterkings factor is niet abnormaal
HADES2001 9 maart 2022 14:12
"Gedurende die tijd zou in totaal ruim 2,5TB aan ddos-verkeer op het doelwit gericht worden. Tijdens een ddos-aanval kan het Mitel-systeem niet voor een tweede aanval worden gebruikt."

Simpele ziel vraag. Leuk dat je tijdens dit geen tweede kan doen maar als je meerdere van dit soort systemen hebt kan een kwaadwillende dan niet met een script deze 1 voor 1 afgaat zodat de aanval door blijft gaan en elkaar rustig opvolgen? als 1 halverwege is start 2 dan 3 etc en dan weer opnieuw loopen?
RienBijl @HADES20019 maart 2022 14:16
Cloudflare zegt er dit over:
Furthermore, an attacker can't run multiple commands at the same time. Instead, the server queues up commands and executes them serially. The fact that you can only launch one attack at a time from these devices, mixed with the fact that you can make that attack for many hours, has fascinating implications. If an attacker chooses to start an attack by specifying a very large number of packets, then that box is “burned” – it can’t be used to attack anyone else until the attack completes.
killercow @HADES20019 maart 2022 14:14
yup
P_Tingen 9 maart 2022 14:27
De onderzoekers spreken over een packet amplification ratio van bijna 4,3 miljard : 1
Bijna 4,3 miljard. Ik durf er wat onder te verwedden dat het 4,294,967,295 is. En dat is niet geheel toevallig de maximale waarde van een unsigned integer. Dit doet vermoeden dat er intern iets heen en weer gaat, tot de maximale waarde wordt overschreden. Als dat zo is, mogen we dus nog van geluk spreken dat er niet een nog ruimer datatype is gebruikt :+

Edit: bingo.
This particular attack vector differs from most UDP reflection/amplification attack methodologies in that the exposed system test facility can be abused to launch a sustained DDoS attack of up to 14 hours in duration by means of a single spoofed attack initiation packet, resulting in a record-setting packet amplification ratio of 4,294,967,296:1
bron

[Reactie gewijzigd door P_Tingen op 25 juli 2024 12:00]

robertlinke @P_Tingen9 maart 2022 15:08
als je dit met een double kan doen, yikes
Plainside 9 maart 2022 14:38
Pff, ja geen leuke weken gehad hier, bijna het gehele klant bestand hebben we mogen nalopen om te patchen. Nu was dit wel simpel te doen maar zeer omslachtig aan het begin, later heeft Mitel die manier nog een revisie weten te geven wat het versimpelde. Een ding is zeker leuk is/was het niet.
robertlinke @Plainside9 maart 2022 15:09
gelukkig is het wel gepatched, VOORDAT deze vector gebruikt werd, dus goed gedaan :)
robertlinke 9 maart 2022 15:21
nu is dit met een integer value, dus 32bits.

kan je nagan wat er zou gebeurd zijn als dit open zou staan en je een double zou kunnen gebruiken om zo'n aanval te starten
dan zou je een 64bit integer value kunnen gebruiken, en dan zou de ratio van 4,294,967,296, gaan naar 9.007.199.254.740.992, of zo'n 2 miljoen x groter (DBL/INT)
locke960 @robertlinke9 maart 2022 21:23
Boven een bepaald niveau wordt de packet amplication ratio volgens mij ook minder belangrijk.
Of ik nou een keer per 14 uur, of 1 keer per 14 dagen een pakketje data moet sturen om een aanval gaande te houden, maakt echt niet uit.

Voor een aanvaller worden dan andere dingen belangrijk, zoals de upload capaciteit van de bot zijn internet verbinding om al die pakketjes ook echt snel naar het slachtoffer te sturen.
Maar dat schiet ook niet op. Voor een DOS aanval heb je meer aan vele kleine bots, dan aan een paar grote. Die paar grote laten zich makkelijk herkennen en blokkeren of uit de lucht nemen.
nobraininvolved 9 maart 2022 22:29
ff een noob vraag, maar is dat dan niet juist handig?
als je aangevallen wordt en je weet dat t ding 14 uur bezig is en je blokkeert ip adres, heb je er in ieder geval zeker 14 uur geen last meer van, want ze kunnen er dan niets meer mee toch?
Rausimous @nobraininvolved14 maart 2022 13:50
Ja lijkt te kloppen

Ddos attacks uit 1 locatie zijn ook niet echt een probleem de reciever kan het ip blocken en zo een groot deel van de attack tegen houden met een simpele filter
If ip = bad guy
Delete data

Inplaats van uit te zoeken wat er binnen komt

Also a noob so yea feel free to corect me
sequenter 10 maart 2022 13:48
Wat grappig dat deze fout nou net in 2600 VOIP telefonie systemen moet zitten.
Dit ivm 2600Hz toon die vroeger in de US werd gebruikt om the phreaken (https://en.wikipedia.org/wiki/Phreaking)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq