Peneliti keamanan dari Akamai, Cloudflare, Lumen Black Lotus Labs, Mitel, Netscour, Team Cymru, Telus, dan The Shadowserver Foundation telah mengungkapkan serangan penolakan layanan dengan rasio amplifikasi yang melampaui 4 miliar hingga satu yang dapat diluncurkan dari satu paket.
Dijuluki CVE-2022-26143, kelemahannya terletak di sekitar 2.600 sistem Mitel MiCollab dan MiVoice Business Express yang salah yang bertindak sebagai gateway PBX-ke-internet dan memiliki mode uji yang tidak boleh diekspos ke internet.
"Fasilitas pengujian sistem yang terbuka dapat disalahgunakan untuk meluncurkan serangan DDoS berkelanjutan hingga durasi 14 jam melalui satu paket inisiasi serangan palsu, yang menghasilkan rasio amplifikasi paket rekor 4.294.967.296:1," sebuah posting blog di Shadowserver menjelaskan.
"Perlu dicatat bahwa kemampuan inisiasi serangan paket tunggal memiliki efek menghalangi operator jaringan traceback dari lalu lintas pemrakarsa serangan palsu. Ini membantu menutupi infrastruktur pembangkit lalu lintas serangan, sehingga kecil kemungkinan asal serangan dapat dilacak dibandingkan dengan vektor serangan DDoS refleksi/amplifikasi UDP lainnya."
Driver dalam sistem Mitel berisi perintah yang melakukan uji stres paket pembaruan status, dan secara teoritis dapat menghasilkan 4.294.967.294 paket dalam 14 jam dengan ukuran maksimum 1.184 byte.
"Ini akan menghasilkan banjir berkelanjutan di bawah 393Mbps lalu lintas serangan dari reflektor/penguat tunggal, semuanya dihasilkan dari satu paket inisiator serangan palsu yang panjangnya hanya 1.119 byte," kata blog tersebut.
"Ini menghasilkan rasio amplifikasi yang hampir tak terbayangkan 2.200.288.816:1 -- pengganda 220 miliar persen, dipicu oleh satu paket."
Untungnya, ternyata sistem Mitel hanya dapat memproses satu perintah pada satu waktu, jadi jika sistem digunakan untuk DDoS, pengguna sebenarnya mungkin bertanya-tanya mengapa itu tidak tersedia dan koneksi keluar sedang basah, kata blog tersebut.
Selain memperbarui sistem, pengguna Mitel dapat mendeteksi dan memblokir lalu lintas masuk yang tidak sesuai pada port UDP 10074 dengan alat pertahanan jaringan standar, tambahnya. Mereka yang menerima serangan disarankan untuk menggunakan pertahanan DDoS.
Serangan pertama menggunakan exploit dimulai pada 18 Februari, ini terutama tercermin pada port 80 dan 443, dan menargetkan ISP, lembaga keuangan, dan perusahaan logistik.