L'attaque DDoS « PhoneHome » : tout ce que vous devez savoir

[ Victime d'une attaque ? Cliquez ici si vous avez besoin d'une protection DDoS d'urgence. ]

Une vulnérabilité dans la suite de collaboration d'entreprise MiCollab de la société de télécommunications Mitel a été exploitée pour des attaques par déni de service distribué (DDoS) avec un potentiel d'amplification sans précédent.

Que s'est-il passé ?

À la mi-février 2022, les chercheurs en sécurité, les opérateurs réseau et les fournisseurs de solutions de sécurité ont observé un pic d'attaques DDoS ciblant les fournisseurs de services internet, les institutions financières, les entreprises de logistique et diverses organisations dans d'autres marchés.

Akamai a collaboré avec d'autres membres de la communauté InfoSec pour effectuer des recherches sur ces attaques et a publié une analyse détaillée le 8 mars. Ces attaques pourraient être liées à des composants matériels (cartes d'interface VoIP TP-240) qui font partie des produits MiCollab et MiVoice Business Express de Mitel, un système téléphonique professionnel avancé.

Le groupe de travail de recherche a déterminé qu'environ 2 600 de ces systèmes étaient configurés de manière à permettre aux acteurs malveillants d'en abuser pour lancer des attaques DDoS contre d'autres réseaux sur Internet. Cette vulnérabilité, nommée « TP240PhoneHome » et suivie comme CVE-2022-26143, est activement exploitée. 

Quelle est l'importance de l'attaque DDoS TP240PhoneHome ?

TP240PhoneHome est remarquable en ce qui concerne son potentiel d'amplification, qui éclipse celui de toutes les attaques DDoS précédemment connues. Normalement, un acteur malveillant devrait maintenir un flux de trafic réseau vers le serveur exploité afin de maintenir son attaque. Dans cette attaque, un acteur malveillant n'a besoin que d'envoyer une petite quantité de trafic réseau, une seule fois, pour lancer l'attaque. Le serveur exploité envoie ensuite une quantité de trafic plus élevée et amplifiée en continu aux systèmes cibles, dans le but de les submerger et de provoquer un déni de service, ce qui entraîne pratiquement une interruption de service. 

Auparavant, le plus grand amplificateur connu était capable d'augmenter le trafic d'attaque par un facteur de 51 000. TP240PhoneHome élève ce record à plus de 4 milliards : pour un seul paquet d'initiation d'attaque envoyé au serveur abusé, le chiffre impressionnant de 4 294 967 296 paquets réseau de trafic d'attaque sont générés et envoyés au réseau cible. Comme ces paquets augmentent également en taille, cela se traduit par une amplification du trafic de plus de 220 milliards pour cent.

Quelle est la dangerosité de l'attaque DDoS TP240PhoneHome ?

Pour faire court : en dépit de son efficacité d'amplification record, le risque lié à cette attaque est faible pour les entreprises qui ont mis des mesures de protection DDoS en place. Pour celles qui ne sont pas dotées de ces couches de protection, cette attaque (et de nombreuses autres attaques DDoS) peut causer de graves dommages et des interruptions d'activité en rendant les systèmes et les applications inaccessibles et inutilisables pendant de longues périodes.

L'attaque TP240PhoneHome repose sur des systèmes Mitel MiCollab mal configurés, et selon nos conclusions, il n'y en existait que 2 600 au moment de l'étude. Cela limite le volume global, et une autre limitation est due au fait que les attaques ne peuvent être exécutées qu'en série, mais pas en parallèle. 

Mitel a été informé du problème et a publié entretemps une note de sécurité et des instructions pour éliminer la vulnérabilité. Les clients de Mitel dont les systèmes sont exploités peuvent subir des effets collatéraux comme une interruption partielle ou totale de la communication vocale et une dégradation des performances et des fonctionnalités.

En quoi Akamai peut-il vous aider ?

Les clients utilisant Prolexic d'Akamai, notre solution de protection DDoS, sont déjà en sécurité, car Prolexic peut gérer des attaques d'amplification comme TP240PhoneHome et maintenir le trafic d'attaque loin de votre réseau et de vos serveurs. Prolexic peut facilement gérer les volumes attendus et a été mis à jour avec des règles d'atténuation spécifiques pour TP240PhoneHome. Grâce à son accord de niveau de service (SLA) de zéro seconde, Prolexic atténuerait instantanément une attaque potentielle, sans interruption notable du service ou dégradation des performances de vos systèmes.

Les applications Web des clients sur l'Intelligent Edge Platform d'Akamai, comme celles qui utilisent App and API Protector d'Akamai ou le trafic desservi par des solutions de réseau de diffusion de contenu (CDN) d'Akamai, sont intrinsèquement protégées contre ces types d'attaques DDoS en raison de la nature de la plateforme. Notre plateforme est conçue comme un proxy inverse et n'accepte que le trafic HTTP(S) bien formé. Toutes les attaques DDoS de couche réseau sont automatiquement neutralisées. Prolexic est censé protéger contre les attaques qui contournent la plateforme Akamai en ciblant directement les serveurs d'origine.

Comment Akamai détecte-t-il et atténue-t-il les attaques DDoS ?

Akamai dispose d'un vaste éventail de fonctionnalités permettant d'atténuer les vecteurs DDoS les plus importants, les plus complexes et les plus récents au monde. Akamai gère la plateforme de diffusion cloud la plus importante et la plus fiable au monde, avec près de 365 000 serveurs répartis dans 135 pays. Nous voyons et analysons plus de trafic réseau que quiconque. L'équipe SIRT (Security Intelligence Response Team) d'Akamai collabore avec les clients, d'autres membres de la communauté InfoSec, le développement de produits, les opérations réseau et nos centres d'opérations de sécurité afin d'identifier et de limiter les vecteurs de menace et d'offrir une protection optimale aux services stratégiques des entreprises.

Quelles sont les meilleures pratiques recommandées pour la protection DDoS ?

Akamai recommande différentes meilleures pratiques de gestion des risques DDoS. La première et la plus importante est la mise en œuvre d'une solution dans le cloud pour la correction des attaques DDoS, comme Edge DNS ou Prolexic. C'est là que vous avez la capacité de consommer ces attaques et de les atténuer avec les meilleures chances d'obtenir un résultat positif.

Deuxièmement, nous recommandons vivement aux entreprises de collaborer avec un fournisseur de services de sécurité gérés (MSS) disposant de l'expertise et des capacités techniques nécessaires pour identifier ces menaces, de fournir une recommandation de plan d'atténuation et d'exécuter ce plan pour arrêter les attaques sans interruption de l'activité. La validation régulière des menaces, l'évaluation des risques et la préparation aux attaques et aux opérations surchargent rapidement les équipes internes. Il est donc préférable de faire appel à un partenaire solide spécialisé dans la fourniture de services de cybersécurité et capable d'agréger et d'exploiter les renseignements sur les menaces d'une grande variété de clients.

En savoir plus

Vous pouvez en savoir plus sur Managed Security Service par Akamai. N'hésitez pas à nous contacter si vous avez des questions.