CVE-2022-26143: VULNERABILIDAD CRÍTICA EN SISTEMAS MITEL MICOLLAB Y MIVOICE BUSINESS EXPRESS PERMITE UN NUEVO NIVEL DE ATAQUES DDOS

Un equipo integrado por múltiples firmas de ciberseguridad publicó un informe relacionado con la detección de ataques de denegación de servicio (DoS) con una tasa de amplificación de más de 4,000 millones a uno y que pueden ser lanzados con un solo paquete. El reporte fue elaborado por investigadores de AkamaiCloudflareLumen Black Lotus LabsMitelNetscourTeam CymruTelus y Shadowserver Foundation.

Al parecer, estos ataques tienen que ver con una falla identificada como CVE-2022-26143, que reside en unos 2,600 sistemas Mitel MiCollab y MiVoice Business Express, los cuales contienen un modo de prueba que no debería estar expuesto en Internet: “Los actores de amenazas pueden abusar de la instalación de prueba del sistema expuesto para lanzar un ataque DoS por hasta 14 horas y usando un solo paquete de inicio de ataque falsificado, lo que resulta en una tasa de amplificación de paquetes sin precedentes”, señala el reporte.

Los primeros ataques comenzaron a ser detectados el pasado 18 de febrero y se reflejaron principalmente en los puertos 80 y 443 en proveedores de servicios de Internet, instituciones financieras y empresas de logística.

Un controlador en los sistemas de Mitel contiene un comando que realiza una prueba de estrés de los paquetes de actualización de estado que podría producir hasta 4,294, 967, 294 paquetes en 14 horas con un tamaño máximo posible de 1184 bytes, más que suficiente para mantener un tráfico de por lo menos 393 Mbps desde un solo amplificador.

Según los investigadores, esto resultaría en una relación de amplificación inconmensurable de hasta 2, 200, 288, 816:1, un multiplicador de 220 mil millones por ciento activado por un solo paquete.

La buena noticia es que los sistemas Mitel solo pueden procesar un solo comando a la vez, por lo que si un sistema se usa para el despliegue de ataques DoS, los usuarios reales pueden preguntarse por qué los servicios normales no están disponibles y la conexión saliente se interrumpe, encontrando una respuesta casi de inmediato.

Como medida de seguridad, se recomienda a los usuarios de Mitel actualizar sus sistemas, además de implementar mecanismos para la detección y bloqueo del tráfico entrante inapropiado en el puerto UDP 10074 con herramientas de defensa de red.

Leave a Reply

Your email address will not be published.