Des attaques DDoS exploitent les appareils de téléphonie Mitel
Des attaquants ont pu exploiter des appareils de téléphonie Mitel mal configurés comme vecteur d'amplification pour réaliser des attaques DDoS importantes.
Dans le monde de la téléphonie pour les entreprises, les appareils et solutions Mitel bénéficient d'une bonne réputation. C'est fréquent de les croiser dans les bureaux des entreprises, donc ces appareils représentent un intérêt important pour les pirates informatiques. Dernièrement, ils ont pu être utilisés dans le cadre d'attaques DDoS très puissantes.
Des chercheurs en sécurité d'Akamai, Cloudflare, Lumen, NETSCOUT, Team Cymru, TELUS, et de la Fondation Shadowserver ont analysés différentes attaques DDoS impliquant des appareils Mitel, et les résultats sont étonnants. C'est un pic d'attaques à la mi-février 2022, en provenance du port 10074/UDP et à destination des ports 80/443 (http/https), qui a poussé ces entreprises à enquêter.
Grâce à cette analyse, on apprend que les attaquants exploitent les systèmes collaboratifs Mitel MiCollab et MiVoice Business Express qui ne sont pas correctement configurés. L'équipe de NETSCOUT précise : "environ 2 600 de ces systèmes ont été incorrectement provisionnés, de sorte qu'une installation de test de système non authentifiée a été exposée par inadvertance sur Internet, donnant aux hackers l'occasion d'utiliser ces passerelles PBX VoIP comme amplificateurs DDoS". Résultat, le taux potentiel d'amplification est énorme 4 294 867 296 : 1.
Ils précisent également qu'un test contrôlé de ce vecteur d'amplification a permis de réaliser une attaque DDoS qui "a produit plus de 400 Mpps (millions de paquets par seconde) de trafic". Le tout à partir d'un seul paquet usurpé !
Cette attaque nommée TP240PhoneHome est associée à la référence CVE suivante : CVE-2022-26143. Pour exploiter cette vulnérabilité, les pirates exploitent le service nommé tp240dvr (correspondant au pilote TP-240) sur les systèmes Mitel. En fait, le fameux service "tp240dvr" rend accessible une commande à destination des équipes de développement conçue pour réaliser un stress test et des tests de performance. Sauf que là, elle est accessible par des personnes malveillantes à cause d'une erreur de configuration.
De son côté, Mitel a publié différents bulletins de sécurité et correctifs afin de guider leur client. Par exemple, le fabricant précise que le port UDP/10074 n'est pas censé être exposé sur Internet. Cela confirme les propos de NETSCOUT. En complément, Mitel a mis en ligne de nouvelles versions logicielles pour empêcher les attaques par amplification.
Souvenez-vous, il y a quelques temps, le Cloud Azure est parvenu à bloquer une attaque DDoS de 3,47 Tbps.
