Системы Mitel для совместной работы способны усилить DDoS в 4 млрд раз

Системы Mitel для совместной работы способны усилить DDoS в 4 млрд раз

Дидосеры нашли нового посредника для атак с отражением и усилением трафика — службу tp240dvr, облегчающую тестирование и отладку систем MiCollab и MiVoice Business Express производства Mitel Networks. Как оказалось, скромный вредоносный запрос в этом случае позволяет создать DDoS-поток с коэффициентом усиления почти 4,3 млрд к 1.

Решения MiCollab и MiVoice Business Express, ориентированные на малый и средний бизнес, предоставляют пользователям платформу для совместной работы. Системы при этом работают как шлюзы, обеспечивая офисным АТС выход в интернет.

Для изучения новой DDoS-угрозы, которой было присвоено имя TP240PhoneHome, исследователи, операторы сетей и вендоры ИБ-решений создали рабочую группу, в которую в числе прочих вошли эксперты Akamai, NETSCOUT, Cloudflare , НКО Shadowserver Foundation и Team Cymru. По результатам расследования был составлен отчет, который опубликовали все названные участники.

Как выяснилось, возможность злоупотребления функциональностью систем Mitel возникла из-за некорректного развертывания: пользователи оставляют внешний доступ к службе tp240dvr (TP-240 driver), которая к тому же принимает команды без аутентификации.

Проблеме был присвоен идентификатор CVE-2022-26143; степень ее опасности оценили как критическую (в 9,4 балла по шкале CVSS). Эксплойт в данном случае позволяет получить доступ к информации и сервисам ограниченного пользования, затормозить работу платформы и даже вызвать состояние отказа в обслуживании (DoS) — что и делают дидосеры, заставляя MiCollab и MiVoice работать на себя (генерировать мусорные потоки).

Использование протокола UDP позволяет автору атаки подменить IP-адрес источника запроса, указав мишень по своему выбору. При этом единственный вредоносный запрос (с командой) к tp240dvr может вернуть 2 147 483 647 ответов о статусе, каждый по два мелких пакета.

Тестирование TP240PhoneHome в лабораторных условиях показало, что размер пакетов в отклике можно увеличить до 1184 байт оптимизацией содержимого запроса. Исследователям также удалось получить ответный поток свыше 400 млн пакетов в секунду (Mpps).

Примечательно, что в отличие от других UDP-атак с отражением / усилением новый вектор позволяет проводить продолжительные DDoS — до 14 часов, и подпитывать этот поток повторной подачей вредоносного запроса не нужно.

В Mitel создали скрипт для MiCollab (PDF) и MiVoice Business Express (PDF), который отключает используемую дидосерами функциональность. Канадский производитель также предлагает ряд дополнительных мер защиты, рекомендуя поместить уязвимую систему за NAT или файрвол и создать правила для блокировки входящего трафика на порту UDP/10074 — хотя при этом отвалятся и легитимные запросы.

Эксперты, со своей стороны, отметили, что атаки TP240PhoneHome можно с успехом отражать, используя обычные средства защиты от DDoS — анализаторы трафика, списки контроля доступа (ACL), специальные фильтры, а также механизмы проверки подлинности источников запросов во входящем и исходящем трафике (антиспуфинг).

К счастью, tp240dvr обрабатывает команды в едином потоке, поэтому сервис можно использовать лишь для проведения одной атаки за раз (на одну мишень). Еще один минус для дидосера: такие сетевые устройства маломощны и в одиночку не способны вывести из строя мощный современный роутер или забить канал, рассчитанный на потоки в 100 Гбит/с.

Собрать из MiCollab и MiVoice большую армию для проведения мощных DDoS-атак тоже не получится: проведенное исследование показало, что в интернете присутствуют лишь 2600 пригодных для абьюза установок.

Все полученные данные указывают на то, что дидосеры взяли в оборот TP240PhoneHome в середине февраля, хотя резкий рост трафика, ассоциируемого с уязвимым сервисом (UDP-порт 10074), наблюдался также 8 января и 7 февраля. Мишенями являются представители многих вертикалей, в том числе поставщики широкополосного интернет-доступа, финансовые институты, логистические компании, игровые платформы.

Мощность DDoS с TP240-усилением пока не превышает 53 Mpps и 23 Гбит/с. Размеры мусорных пакетов в среднем составляют 60 байт, продолжительность атак — около 5 минут. Порт-источник — всегда UDP/10074, порт-адресат — по выбору автора атаки, но чаще всего UDP/80 и UDP/443. Фрагментации пакетов не наблюдается.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

152-ФЗ: Госдума приняла новый вариант закона “О персональных данных”

“Засекречивание” ЕГРН, сутки на уведомление об утечке, сбор биометрии в ЕБС. К третьему чтению “доехало” меньше половины из 80 поправок, предложенных бизнесом к первой редакции.

Госдума уже сегодня уходит на каникулы, поэтому последние дни там были “жаркими”. Во вторник депутаты приняли во втором чтении законопроект “О персональных данных”. Накануне, 6 июля — в третьем и окончательном. 152-ФЗ “уехал” в Совет Федерации.

Законопроект вызвал озабоченность бизнеса еще в мае, когда его “читали” в Госдуме в первый раз. Один из инициаторов изменений — единоросс Александр Хинштейн — вчера сообщил о 80 поступивших поправках первого варианта.

Принять во внимание решили только 30. Итак, в финальной редакции:

  1. Получить данные из Единого госреестра недвижимости (ЕГРН) можно только с письменного разрешения владельца. Поправку оставили без изменений, несмотря на протесты предпринимателей.
  2. Мораторий на трансграничную передачу персданных. К третьему чтению добавилось еще одно основание запрета: для “защиты суверенитета, безопасности, территориальной целостности РФ и других ее интересов на международной арене”. Правительство может определять категории операторов, на которых запрет не действует. Закон также не будет иметь обратной силы.
  3. Обязанность операторов персданных (де-факто всех юрлиц) сообщать в Роскомнадзор о передаче ПДн россиян в другие страны. В первой версии требовалось докладывать о каждой транзакции, что усложняло покупку товаров в иностранных магазинах. Поправка могла сильно ударить по маркетплейсам. В последней редакции есть возможность единовременно подать уведомления заранее по всем перспективным направлениям до вступления закона в силу, объясняет собеседник “Ъ” на рынке онлайн-ретейла. РКН будет рассматривать уведомления не 30 дней, а десять.
  4. Оператор персональных данных обязан сообщить об утечке в первые сутки, как только обнаружил потерю. Далее у него будет еще два дня, чтобы найти виноватого и залатать “дыры”. В первом варианте на всё давались только сутки.
  5. Информацию об утечках нужно передавать и в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Из актуальной версии исключили требование о непрерывном взаимодействии с ГосСОПКА. Бизнес опасался, что это обойдется ему слишком дорого.
  6. Операторам персданных больше не нужно согласие субъекта для передачи его биометрии в единую биометрическую систему (ЕБС). Достаточно просто уведомить гражданина.
  7. Запрещается принудительный сбор и обработку биометрических данных. Бизнес не сможет отказывать в обслуживании, если клиент не хочет сдавать отпечатки, фотографии и образцы голоса.
  8. Можно собирать биометрические данные у несовершеннолетних с 14 до 18 лет. Депутаты согласились с мнением ЦБ и банков. Регулирование продолжится по законопроекту о единой биометрической системе (ГИС).

Теперь закон должен принять Совет Федерации. После этого он “поедет” на подпись к президенту. Вступить в силу новый 152-ФЗ может в марте следующего года.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru