Ddos-kwetsbaarheid in Mitel-systemen kan packet 4 miljard keer versterken

Een kwetsbaarheid in twee Mitel-systemen kan tot gevolg hebben dat een ddos-packet ruim vier miljard keer vergroot wordt. Daarmee kunnen kwaadwillenden een aanval van maximaal veertien uur starten via een enkel netwerkpakket. De kwetsbaarheid wordt al misbruikt en er is een update.

De kwetsbaarheden zitten in de MiCollab- en MiVoice Business Express-softwarepakketten van Mitel, zeggen onderzoekers van onder meer Cloudflare, Akamai en Mitel. Deze voip-systemen hebben testfunctionaliteit die voor intern gebruik bestemd is en die de systemen kan stresstesten door veel statusupdateverkeer te versturen en zo debugging en performance testing te faciliteren.

Deze TP-240-driver-functionaliteit is echter in ongeveer 2600 systemen verkeerd geconfigureerd, waardoor ook externen de functionaliteit kunnen gebruiken. Kwaadwillenden kunnen zo een commando naar een kwetsbaar Mitel-systeem sturen dat ervoor zorgt dat het voip-systeem grotere statusupdate-packets naar een doelwit stuurt. Zo kunnen ze met een relatief kleine request payload een grote hoeveelheid traffic veroorzaken bij een ddos-doelwit.

De onderzoekers spreken over een packet amplification ratio van bijna 4,3 miljard : 1. Volgens Ars Technica was het vorige record memcached, met een packet amplification ratio van 51.000 : 1. De TP-240-kwetsbaarheid zou met een enkele node in totaal bijna 4,3 miljard attack packets kunnen sturen, waarbij ieder packet wordt versterkt tot een maximale omvang van 1184 bytes. In theorie kan een aanval ongeveer veertien uur duren bij een aanhoudend aantal van 80.000 pakketten per seconde. Gedurende die tijd zou in totaal ruim 2,5TB aan ddos-verkeer op het doelwit gericht worden. Tijdens een ddos-aanval kan het Mitel-systeem niet voor een tweede aanval worden gebruikt.

Niet alle MiCollab- en MiVoice Business Express-systemen zijn vatbaar voor de kwetsbaarheid; het zou om 2600 van de tienduizenden verkochte exemplaren gaan. De systemen zijn onder meer door overheden en grote bedrijven gekocht. De onderzoekers denken dat de exploit voor het eerst op 18 februari is gebruikt.

Criminelen zouden de kwetsbaarheid al in ddos-diensten hebben opgenomen, waardoor de kwetsbaarheid breder gebruikt kan worden. De grootste aanval die tot nu toe is waargenomen, was goed voor ongeveer 53 miljoen pakketten per seconde met een doorvoer van 23Gbit/s aan netwerkverkeer. De gemiddelde pakketgrootte voor die aanval was ongeveer 60 bytes en de aanval duurde ongeveer vijf minuten. Een gecontroleerde test van de onderzoekers van deze ddos-aanvalsvector leverde ruim 400 miljoen pakketten per seconden aan aanhoudend ddos-verkeer op.

Financiële en logistieke bedrijven, en providers zouden al slachtoffer zijn geweest van deze aanvallen. Mitel zegt een update te hebben uitgebracht die het probleem kan oplossen en met bedrijven samen te werken om te voorkomen dat de systemen misbruikt kunnen worden.

Door Hayte Hugo

Redacteur

09-03-2022 • 14:04

17

Reacties (17)

Sorteer op:

Weergave:

Een amplification-factor van 4,3 miljard? Terwijl het vorige record 'slechts' 51 duizend is?

... Hoe krijg je in hemelsnaam het voor elkaar de standaardconfiguratie zo slecht in te stellen? Hopelijk stelt Mitel de doelwitten schadeloos, want dit is geen klein foutje meer maar een gigantisch grote fout.
Wat ik zo snel lees is dat het een test-commando betreft:
The tp240dvr service exposes an unusual command that is designed to stress test its clients in order to facilitate debugging and performance testing. This command can be abused to cause the tp240dvr service to send this stress test to attack victims. The traffic consists of a high rate of short informative status update packets that can potentially overwhelm victims and cause the DDoS scenario.
Dus met 1 commando van een paar bytes kun je een ddos aanval opzetten die vele gigabytes en vooral heel veel packets naar je target stuurt.
Nee, het is een klein foutje, maar de gevolgen kunnen groot zijn.
Duidelijk een unsigned int veld van 32 bits,

256 ^ 4 = 4294967296 = *bijna 4.3 miljard*.

edit; Oh @P_Tingen is mij voor

[Reactie gewijzigd door jaenster op 25 juli 2024 12:00]

Het is geen groote fout
Simple gezegt is het op te lossen met 1 firewall line

Het is een systeem om intern te gebruiken? Dat ook extern open gezet is ?

En ja debug logs zijn groot en moeten simple te verkrijgen zijn dus de versterkings factor is niet abnormaal
"Gedurende die tijd zou in totaal ruim 2,5TB aan ddos-verkeer op het doelwit gericht worden. Tijdens een ddos-aanval kan het Mitel-systeem niet voor een tweede aanval worden gebruikt."

Simpele ziel vraag. Leuk dat je tijdens dit geen tweede kan doen maar als je meerdere van dit soort systemen hebt kan een kwaadwillende dan niet met een script deze 1 voor 1 afgaat zodat de aanval door blijft gaan en elkaar rustig opvolgen? als 1 halverwege is start 2 dan 3 etc en dan weer opnieuw loopen?
Cloudflare zegt er dit over:
Furthermore, an attacker can't run multiple commands at the same time. Instead, the server queues up commands and executes them serially. The fact that you can only launch one attack at a time from these devices, mixed with the fact that you can make that attack for many hours, has fascinating implications. If an attacker chooses to start an attack by specifying a very large number of packets, then that box is “burned” – it can’t be used to attack anyone else until the attack completes.
De onderzoekers spreken over een packet amplification ratio van bijna 4,3 miljard : 1
Bijna 4,3 miljard. Ik durf er wat onder te verwedden dat het 4,294,967,295 is. En dat is niet geheel toevallig de maximale waarde van een unsigned integer. Dit doet vermoeden dat er intern iets heen en weer gaat, tot de maximale waarde wordt overschreden. Als dat zo is, mogen we dus nog van geluk spreken dat er niet een nog ruimer datatype is gebruikt :+

Edit: bingo.
This particular attack vector differs from most UDP reflection/amplification attack methodologies in that the exposed system test facility can be abused to launch a sustained DDoS attack of up to 14 hours in duration by means of a single spoofed attack initiation packet, resulting in a record-setting packet amplification ratio of 4,294,967,296:1
bron

[Reactie gewijzigd door P_Tingen op 25 juli 2024 12:00]

als je dit met een double kan doen, yikes
Pff, ja geen leuke weken gehad hier, bijna het gehele klant bestand hebben we mogen nalopen om te patchen. Nu was dit wel simpel te doen maar zeer omslachtig aan het begin, later heeft Mitel die manier nog een revisie weten te geven wat het versimpelde. Een ding is zeker leuk is/was het niet.
gelukkig is het wel gepatched, VOORDAT deze vector gebruikt werd, dus goed gedaan :)
nu is dit met een integer value, dus 32bits.

kan je nagan wat er zou gebeurd zijn als dit open zou staan en je een double zou kunnen gebruiken om zo'n aanval te starten
dan zou je een 64bit integer value kunnen gebruiken, en dan zou de ratio van 4,294,967,296, gaan naar 9.007.199.254.740.992, of zo'n 2 miljoen x groter (DBL/INT)
Boven een bepaald niveau wordt de packet amplication ratio volgens mij ook minder belangrijk.
Of ik nou een keer per 14 uur, of 1 keer per 14 dagen een pakketje data moet sturen om een aanval gaande te houden, maakt echt niet uit.

Voor een aanvaller worden dan andere dingen belangrijk, zoals de upload capaciteit van de bot zijn internet verbinding om al die pakketjes ook echt snel naar het slachtoffer te sturen.
Maar dat schiet ook niet op. Voor een DOS aanval heb je meer aan vele kleine bots, dan aan een paar grote. Die paar grote laten zich makkelijk herkennen en blokkeren of uit de lucht nemen.
ff een noob vraag, maar is dat dan niet juist handig?
als je aangevallen wordt en je weet dat t ding 14 uur bezig is en je blokkeert ip adres, heb je er in ieder geval zeker 14 uur geen last meer van, want ze kunnen er dan niets meer mee toch?
Ja lijkt te kloppen

Ddos attacks uit 1 locatie zijn ook niet echt een probleem de reciever kan het ip blocken en zo een groot deel van de attack tegen houden met een simpele filter
If ip = bad guy
Delete data

Inplaats van uit te zoeken wat er binnen komt

Also a noob so yea feel free to corect me
Wat grappig dat deze fout nou net in 2600 VOIP telefonie systemen moet zitten.
Dit ivm 2600Hz toon die vroeger in de US werd gebruikt om the phreaken (https://en.wikipedia.org/wiki/Phreaking)

Op dit item kan niet meer gereageerd worden.