L'attacco DDoS di tipo "PhoneHome": tutto ciò che dovete sapere
[Siete sotto attacco? Fate clic qui per richiedere una protezione di emergenza dagli attacchi DDoS. ]
Una vulnerabilità riscontrata nella suite di collaborazione aziendale MiCollab dalle società di telecomunicazioni Mitel è stata violata tramite attacchi DDoS (Distributed Denial-of-Service) con un potenziale di amplificazione da record.
Cosa è successo?
Verso la metà di febbraio 2022, i ricercatori della sicurezza, gli operatori di rete e i fornitori di soluzioni per la sicurezza hanno osservato un picco nel numero di attacchi di tipo DDoS sferrati contro ISP, istituzioni finanziarie, società di logistica e varie organizzazioni che operano in altri settori.
Akamai ha collaborato con altri membri della comunità InfoSec per effettuare ricerche sugli attacchi e ha pubblicato un'analisi dettagliata l'8 marzo. Gli attacchi sono stati fatti risalire ai componenti hardware (schede di interfaccia TP-240 VoIP) che sono parte di MiCollab e MiVoice Business Express, un avanzato sistema di fonia aziendale prodotto da Mitel.
La task force impegnata nella ricerca ha stabilito che circa 2.600 di questi sistemi sono stati configurati in modo da consentire ai criminali di poterli violare per sferrare attacchi DDoS contro altre reti tramite Internet. Questa vulnerabilità, denominata "TP240PhoneHome" e tracciata con il codice CVE-2022-26143, viene sfruttata attivamente.
Cosa implica un attacco DDoS di tipo TP240PhoneHome?
TP240PhoneHome è un attacco dall'enorme potenziale di amplificazione, poiché è in grado di eclissare tutti gli attacchi DDoS precedentemente noti. Di solito, un criminale richiede un certo flusso di traffico di rete al server violato per mantenere il suo attacco. In questo caso, invece, il criminale ha richiesto solo l'invio di una piccola quantità di traffico di rete, una sola volta, per avviare l'attacco. Il server violato, quindi, ha inviato una quantità di traffico maggiore e amplificata in modo continuativo ai sistemi presi di mira con l'obiettivo di sovraccaricarli e sferrare un attacco DDoS, praticamente paralizzandoli del tutto.
In precedenza, il vettore di amplificazione più grande mai noto era riuscito ad incrementare il traffico in seguito all'attacco con un fattore di amplificazione pari a 51.000. L'attacco TP240PhoneHome ha innalzato questo record superando la cifra di 4 miliardi: per un solo pacchetto di inizializzazione dell'attacco inviato al server violato, sono stati generati e inviati alla rete presa di mira pacchetti di rete in un numero sorprendente pari a 4.294.967.296. Poiché questi pacchetti aumentano anche di dimensioni, il fattore di amplificazione ha superato una percentuale di 220 miliardi.
Qual è il grado di pericolosità dell'attacco DDoS di tipo TP240PhoneHome?
In breve: Nonostante la sua efficienza di amplificazione da record, il rischio proveniente da questo exploit è basso per le aziende che hanno implementato solide misure di protezione dagli attacchi DDoS . Per le aziende che non hanno attivato simili livelli di protezione, questo attacco e molti altri attacchi DDoS possono causare gravi danni e interrompere le attività aziendali rendendo sistemi e applicazioni irraggiungibili e inutilizzabili per lunghi periodi di tempo.
L'attacco TP240PhoneHome si basa su un'errata configurazione dei sistemi Mitel MiCollab, come risultavano, secondo i nostri risultati, circa 2.600 di essi al momento della ricerca da noi condotta. In tal modo, viene limitato il volume complessivo e un'ulteriore limitazione è causata dal fatto di poter eseguire questi attacchi solo in serie, non in parallelo.
Mitel è stata informata del problema e, nel frattempo, ha rilasciato una notifica sulla sicurezza insieme alle istruzioni per eliminare la vulnerabilità riscontrata. I clienti Mitel i cui sistemi vengono violati potrebbero subire effetti collaterali come la totale o parziale interruzione delle comunicazioni vocali e il peggioramento di performance e funzionalità.
In che modo Akamai può aiutarvi?
I clienti che utilizzano Akamai Prolexic, la nostra soluzione per la protezione dagli attacchi DDoS, sono già al sicuro poiché Prolexic può gestire attacchi di amplificazione come TP240PhoneHome e tenere il traffico degli attacchi lontano dalle loro reti e dai loro server. Prolexic può gestire facilmente i volumi previsti ed è stato aggiornato con regole di mitigazione appositamente concepite per l'attacco TP240PhoneHome. Grazie al suo SLA (accordo sul livello di servizio) immediato, Prolexic è in grado di mitigare immediatamente un potenziale attacco, senza interrompere i servizi in modo significativo né peggiorare le performance dei vostri sistemi.
Le applicazioni web dei clienti eseguite sull'Akamai Intelligent Edge Platform, come quelle che utilizzano App & API Protector di Akamai o il traffico gestito tramite le soluzioni di rete per la distribuzione dei contenuti (CDN), sono protette in modo intrinseco da questi tipi di attacchi DDoS a causa della natura della piattaforma. La nostra piattaforma è progettata come un proxy inverso e accetta solo il traffico nelle porte HTTP(S) con formato corretto. Tutti gli attacchi DDoS a livello di rete vengono bloccati automaticamente. Prolexic è in grado di difendere dagli attacchi che bypassano la piattaforma Akamai prendendo di mira direttamente i server di origine.
In che modo Akamai riesce a rilevare e mitigare gli attacchi DDoS?
Akamai dispone di una vasta gamma di funzionalità per mitigare i vettori DDoS più grandi, complessi e innovativi al mondo. Disponendo della piattaforma di cloud delivery più grande e affidabile al mondo, costituita da quasi 365.000 server sparsi in più di 135 Paesi, Akamai osserva e analizza una quantità di traffico di rete maggiore rispetto a qualsiasi altra azienda. L'Akamai Security Intelligence Response Team (SIRT) collabora con i clienti, con altri membri della comunità InfoSec, con i team addetti allo sviluppo dei prodotti e alle operazioni di rete, nonché con i nostri SOC (Security Operation Center), per identificare e mitigare i vettori degli attacchi e per fornire una protezione ottimale nei servizi business-critical.
Quali sono le best practice consigliate per la protezione dagli attacchi DDoS?
Akamai suggerisce diverse best practice per la gestione dei rischi correlati agli attacchi DDoS. Innanzitutto, la best practice più importante consiste nell'implementare una soluzione basata sul cloud per proteggersi dagli attacchi DDoS, come Edge DNS o Prolexic. In tal modo, è possibile mitigare gli attacchi nel miglior modo possibile.
In secondo luogo, consigliamo vivamente alle aziende di collaborare con un provider di servizi MSS (Managed Security Service) che disponga dell'esperienza e delle competenze tecniche per identificare queste minacce, per fornire un piano di mitigazione consigliato e per attuarlo in modo da fermare gli attacchi senza interrompere le attività aziendali. Poiché l'esecuzione di regolari operazioni di verifica delle minacce, valutazione dei rischi e preparazione operativa in vista degli attacchi sovraccarica rapidamente i team interni, va affidata preferibilmente ad un partner dedicato in grado di fornire servizi di sicurezza informatica e di aggregare e sfruttare l'intelligence sulle minacce ricavata da un'ampia varietà di clienti.
Ulteriori informazioni
Potrete trovare ulteriori informazioni su Akamai Managed Security Service. Per eventuali domande, potete contattarci : siamo a vostra disposizione.
