Des attaques DDoS exploitent les appareils de téléphonie Mitel

Des attaquants ont pu exploiter des appareils de téléphonie Mitel mal configurés comme vecteur d'amplification pour réaliser des attaques DDoS importantes.

Dans le monde de la téléphonie pour les entreprises, les appareils et solutions Mitel bénéficient d'une bonne réputation. C'est fréquent de les croiser dans les bureaux des entreprises, donc ces appareils représentent un intérêt important pour les pirates informatiques. Dernièrement, ils ont pu être utilisés dans le cadre d'attaques DDoS très puissantes.

Des chercheurs en sécurité d'Akamai, Cloudflare, Lumen, NETSCOUT, Team Cymru, TELUS, et de la Fondation Shadowserver ont analysés différentes attaques DDoS impliquant des appareils Mitel, et les résultats sont étonnants. C'est un pic d'attaques à la mi-février 2022, en provenance du port 10074/UDP et à destination des ports 80/443 (http/https), qui a poussé ces entreprises à enquêter.

Grâce à cette analyse, on apprend que les attaquants exploitent les systèmes collaboratifs Mitel MiCollab et MiVoice Business Express qui ne sont pas correctement configurés. L'équipe de NETSCOUT précise : "environ 2 600 de ces systèmes ont été incorrectement provisionnés, de sorte qu'une installation de test de système non authentifiée a été exposée par inadvertance sur Internet, donnant aux hackers l'occasion d'utiliser ces passerelles PBX VoIP comme amplificateurs DDoS". Résultat, le taux potentiel d'amplification est énorme  4 294 867 296 : 1.

Ils précisent également qu'un test contrôlé de ce vecteur d'amplification a permis de réaliser une attaque DDoS qui "a produit plus de 400 Mpps (millions de paquets par seconde) de trafic". Le tout à partir d'un seul paquet usurpé !

Cette attaque nommée  TP240PhoneHome est associée à la référence CVE suivante : CVE-2022-26143. Pour exploiter cette vulnérabilité, les pirates exploitent le service nommé tp240dvr (correspondant au pilote TP-240) sur les systèmes Mitel. En fait, le fameux service "tp240dvr" rend accessible une commande à destination des équipes de développement conçue pour réaliser un stress test et des tests de performance. Sauf que là, elle est accessible par des personnes malveillantes à cause d'une erreur de configuration.

De son côté, Mitel a publié différents bulletins de sécurité et correctifs afin de guider leur client. Par exemple, le fabricant précise que le port UDP/10074 n'est pas censé être exposé sur Internet. Cela confirme les propos de NETSCOUT. En complément, Mitel a mis en ligne de nouvelles versions logicielles pour empêcher les attaques par amplification.

Souvenez-vous, il y a quelques temps, le Cloud Azure est parvenu à bloquer une attaque DDoS de 3,47 Tbps.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4110 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.