Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Nuevo vector de ataque permite amplificar los ataques DrDDoS sin precedentes mediante centralitas VoIP


Se han descubierto ataques de denegación de servicio (DDoS por sus siglas en inglés) del tipo DrDDoS (Reflejado y amplificado) con un rango de amplificación enorme: ya que supera los 4.000 millones a 1 y se pueden lanzar desde un solo paquete. Este nuevo vector de ataque DrDoS le ha sido asignado el identificador CVE-2022-26143. Capaz de generar 4.000 millones de paquetes en 14 horas.

 



 

CVE-2022-26143: vector de ataque DDoS de reflexión/amplificación TP240PhoneHome



  • El nuevo vector de denegación de servicio distribuido (DDoS) de reflexión/amplificación con una relación de amplificación potencial sin precedentes de 4,294,967,296:1 ha sido abusado por atacantes en estado salvaje para lanzar múltiples ataques DDoS de alto impacto.
  • Aproximadamente 2600 sistemas de colaboración Mitel MiCollab y MiVoice Business Express que actúan como puertas de enlace PBX a Internet se implementaron incorrectamente con una instalación de prueba de sistema abusable expuesta a la Internet pública.
  • Permite lanza ataques DDoS de reflexión/amplificación de más de 53 millones de paquetes por segundo (mpps). Con un ajuste de ataque óptimo, el rendimiento de tráfico potencial para este vector DDoS es significativamente mayor.
  • Los colaboradores del grupo de trabajo de investigación y mitigación incluyen Akamai SIRT, Cloudflare, Lumen Black Lotus Labs, Mitel, NETSCOUT ASERT, Team Cymru, TELUS y The Shadowserver Foundation. 

El fallo reside en unos 2.600 sistemas Mitel MiCollab y MiVoice Business Express que están incorrectamente aprovisionados y, por este motivo, actúan como pasarelas de centralita a Internet y tienen un modo de prueba que no debería estar expuesto a Internet. En su blog, la Fundación Shadowserver explica que la instalación de prueba "puede ser usada para lanzar un ataque DDoS de hasta 14 horas de duración por medio de un único paquete, lo que resulta en una relación de amplificación de paquetes que establece un récord de 4.294.967.296:1".

 La semana pasada, Akamai reveló un método DDoS muy similar denominado "Reflexión de caja intermedia TCP", que aprovecha los cortafuegos vulnerables y los sistemas de cumplimiento de políticas de filtrado de contenido en cajas intermedias para lograr un factor de amplificación de 65x

Poder de amplificación enorme

  • El nivel de amplificación es monstruoso
Los ataques de reflexión comienzan con un pequeño paquete "reflejado"  dentro de una red cerrada, mientras que su tamaño se amplifica con cada rebote. Al alcanzar el límite superior posible, el volumen de tráfico resultante se canaliza hacia el objetivo (víctima).

Los investigadores han explicado, además, que "hay que señalar que esta capacidad de iniciación de ataques con un solo paquete tiene el efecto de impedir el rastreo por parte de los operadores de red para conocer quién inició los ataques falsos. Esto ayuda a enmascarar la infraestructura de generación de tráfico de ataque, haciendo menos probable que el origen del ataque pueda ser rastreado"

 

2.600 dispositivos Mitel PBX vulnerables

Un controlador en los sistemas de Mitel contiene un comando. Este puede producir teóricamente 4.294.967.294 paquetes a lo largo de 14 horas con un tamaño máximo posible de 1.184 bytes.

Además de actualizar los sistemas, los usuarios de Mitel pueden detectar y bloquear el tráfico entrante inapropiado en el puerto UDP 10074 con herramientas estándar de defensa de la red. Se aconseja a quienes reciban el ataque que utilicen herramientas específicas de defensa para DDoS.

Mitel ha publicado actualizaciones de software que deshabilitan el acceso público a la función de prueba, al tiempo que describió el problema como una vulnerabilidad de control de acceso que podría ser explotada para obtener información sensible.

Los primeros ataques que utilizaron el exploit comenzaron el 18 de febrero y se dirigieron a instituciones financieras, empresas de logística y de gaming.

Fuentes:
https://www.genbeta.com/actualidad/4-000-millones-paquetes-14-horas-descubren-nuevos-ataques-ddos-record-dificiles-rastrear-1

https://www.shadowserver.org/news/cve-2022-26143-tp240phonehome-reflection-amplification-ddos-attack-vector/

https://blog.cloudflare.com/cve-2022-26143/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.