Mitel PBX-to-Internet ゲートウェイの脆弱性:増幅率 40億倍の DDoS の原因

Hackers Abuse Mitel Devices to Amplify DDoS Attacks by 4 Billion Times

2022/03/09 TheHackerNews — 脅威アクターたちは、インパクトの強い反射/増幅の方式を悪用し、4,294,967,296 対 1 という記録的な増幅率で、最大 14時間にわたる持続的な分散サービス妨害 (DDoS) 攻撃を行うことが確認されている。この、TP240PhoneHome (CVE-2022-26143) と名付けられた攻撃ベクターは、ブロードバンド接続 ISP/金融機関/物流会社/ゲーム会社などの組織を標的とした、大規模な DDoS 攻撃を行う武器として利用されてきた。

Akamai の研究者である Chad Seaman は、「PBX-to-Internet ゲートウェイとして機能する、約 2,600 台の Mitel MiCollab および MiVoice Business Express コラボレーション・システムが不正にディプロイされ、システム・テスト設備がパブリック・インターネットに公開されていた。攻撃者たちは、それらのシステムを積極的に活用し、5300万パケット/秒 (PPS) を超える反射/増幅 DDoS 攻撃を仕掛けていた」と、アドバイザリーで語っている。

通常の DDoS リフレクション攻撃は、被害者の IP アドレスをスプーフィングし、DNS/NTP/CLDAP サーバーなどのターゲットからの応答をリダイレクトする。成りすましの被害者である送信元に送信される応答は、リクエストよりも遥かに大きくなり、サービスに完全にアクセスできなくなるという仕組みである。

TP240PhoneHome 攻撃の最初の兆候は、2022年2月18日に Mitel の MiCollab/MiVoice Business Express コラボレーション・システムを、DDoS リフレクターとして使用し、認証されていないテスト施設がパブリック・インターネットにさらされたことで検知されたと言われている。

Akamai は、「この攻撃手法は、一般的な UDP 反射/増幅による攻撃とは異なり、公開されたシステムのテスト施設を悪用し、単一の偽装攻撃開始パケットにより最大 14時間持続する DDoS 攻撃が可能な点にある。その結果として、パケット増幅率は 4,294,967,296 対 1 という記録的な数値になった。具体的に言うと、この攻撃は UDP ポート 10074 でコマンドをリッスンするように設計され、インターネットに公開されることを意図していない、tp240dvr と呼ばれるドライバーを武器にしている。それが、インターネットに露出することで、最終的にはインターネットの悪用を可能にしている」と説明している。

さらに Akamai は、「tp240dvr バイナリの設計を検証すると、理論的には単一の悪質なコマンドに対して 2,147,483,647 レスポンスを発するよう、攻撃者がサービスを誘導できることがわかる。それぞれのレスポンスは、回線上で2つのパケットを生成し、約 4,294,967,294 倍に増幅された攻撃パケットが、被害者に向けられることになる」と述べている。

この発見を受け、火曜日に Mitel はソフトウェアのアップデートを公開し、テスト機能への一般アクセスを無効にする一方で、この問題をアクセス制御の脆弱性と判断し、機密情報を取得するために悪用される可能性があると説明している。

同社は、「TP-240 反射/増幅攻撃の付随的な影響は、インターネットに露出した Mitel MiCollab/MiVoice Business Express コラボレーション・システムを持つ組織にとって、DDoS 反射/増幅器として悪用される可能性がある」と述べている。

さらに同社は、「これらのシステムを介した音声通信の一部/全部の中断だけでなく、トランジット容量の消費/ネットワークアドレス変換のステートテーブルの枯渇/ステートフル・ファイアウォールなどの追加サービスが中断する可能性がある」と述べている。

Mitel は、1973年に設立されたカナダのテレコムとのことです。その Mitel が提供する PBX-to-Internet ゲートウェイのシステム・テスト設備が、間違ってパブリック・インターネットに公開され、反射型 DDoS に悪用されていたようです。パケット増幅率は 4,294,967,296 対 1 という記録的な数値であり、5300万パケット/秒 (PPS) を超える DDoS 攻撃が発生していたようです。よろしければ、カテゴリ DDoS も、ご参照ください。

%d bloggers like this: