Descubren nuevos ataques DDoS récord y difíciles de rastrear

Un modo de prueba que no debe estar expuesto a Internet desde una puerta de enlace de PBX a Internet responsable de una relación de amplificación de 4,294,967,296 a 1.

Investigadores de seguridad de Akamai, Cloudflare, Lumen Black Lotus Labs, Mitel, Netscour, Team Cymru, Telus y The Shadowserver Foundation revelaron ataques de denegación de servicio con una tasa de amplificación que supera los 4 000 millones a 1 que puede lanzarse desde un solo paquete.

Apodada CVE-2022-26143, la falla reside en alrededor de 2600 sistemas Mitel MiCollab y MiVoice Business Express aprovisionados incorrectamente que actúan como puertas de enlace de PBX a Internet y tienen un modo de prueba que no debe estar expuesto a Internet.

“Se puede abusar de la instalación de prueba del sistema expuesto para lanzar un ataque DDoS sostenido de hasta 14 horas de duración por medio de un solo paquete de inicio de ataque falsificado, lo que resulta en una tasa de amplificación de paquetes sin precedentes de 4,294,967,296: 1”, una publicación de blog en Shadowserver explica.

“Cabe señalar que esta capacidad de iniciación de ataques de un solo paquete tiene el efecto de impedir que el operador de la red rastree el tráfico del iniciador del ataque falsificado. Esto ayuda a enmascarar la infraestructura de generación del tráfico del ataque, lo que hace menos probable que se pueda rastrear el origen del ataque en comparación con otros vectores de ataque DDoS de reflexión/amplificación UDP”.

Un controlador en los sistemas de Mitel contiene un comando que realiza una prueba de estrés de los paquetes de actualización de estado y, en teoría, puede producir 4 294 967 294 paquetes en 14 horas con un tamaño máximo posible de 1184 bytes.

“Esto produciría una avalancha sostenida de poco menos de 393 Mbps de tráfico de ataque desde un solo reflector/amplificador, todo como resultado de un solo paquete iniciador de ataque falsificado de solo 1119 bytes de longitud”, dice el blog.

“Esto da como resultado una relación de amplificación casi inimaginable de 2,200,288,816:1, un multiplicador de 220 mil millones por ciento, activado por un solo paquete”.

Lo bueno de todo esto es que, resulta que el sistema Mitel solo puede procesar un solo comando a la vez, por lo que si un sistema se usa para DDoS, los usuarios reales pueden preguntarse por qué no está disponible y la conexión de salida se está saturando, afirma el blog.

Además de actualizar los sistemas, los usuarios de Mitel pueden detectar y bloquear el tráfico entrante inapropiado en el puerto UDP 10074 con herramientas de defensa de red estándar, agrega. Se recomienda a aquellos en el extremo receptor del ataque que utilicen defensas DDoS.

Los primeros ataques que utilizaron el exploit comenzaron el 18 de febrero, estos se reflejaron principalmente en los puertos 80 y 443, y se dirigieron a ISP, instituciones financieras y empresas de logística.

zdnet, Genbeta

Queremos seguir creando cursos gratuitos en nuestro canal de YouTube. Solo te pedimos tu ayuda para crecer más. Suscríbete por favor. (Cursos, talleres y charlas gratis para ti).

Ernesto Mota
Ernesto Mota
Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

Últimos artículos

a

Publicasciones relaciodadas

¿Quieres aprender a programar desde cero? Ver cursos
¿Quieres ganar una membresía anual? ¡Claro!