O ataque DDoS "PhoneHome": tudo que você precisa saber
[ Sob ataque? Clique aqui se você precisar de proteção de emergência contra DDoS. ]
Uma vulnerabilidade no pacote de colaboração empresarial MiCollab da empresa de telecomunicações Mitel foi explorada para ataques distribuídos de negação de serviço (DDoS) com potencial de amplificação recorde.
O que aconteceu?
Em meados de fevereiro de 2022, pesquisadores de segurança, operadores de rede e fornecedores de segurança observaram um aumento nos ataques de DDoS direcionados a provedores de serviços de Internet, instituições financeiras, empresas de logística e uma variedade de organizações em outros mercados.
A Akamai colaborou com outros membros da comunidade InfoSec para pesquisar os ataques e publicou uma análise detalhada em 8 de março. Os ataques poderiam ser rastreados até componentes de hardware (placas de interface VoIP TP-240) que fazem parte dos produtos MiCollab e MiVoice Business Express da Mitel, um sistema de telefonia comercial avançado.
A força-tarefa de pesquisa determinou que cerca de 2.600 desses sistemas foram configurados de uma forma que permitia que agentes mal-intencionados os explorem para lançar ataques DDoS contra outras redes pela Internet. Essa vulnerabilidade, denominada “TP240PhoneHome” e rastreada como CVE-2022-26143, está sendo ativamente explorada.
Qual é o significado do ataque de DDoS TP240PhoneHome?
TP240PhoneHome se destaca por seu potencial de amplificação, superior a todos os ataques DDoS anteriormente conhecidos. Normalmente, um agente mal-intencionado seria obrigado a manter um fluxo de tráfego de rede para o servidor explorado para manter seu ataque. Nesse tipo de ataque, um agente mal-intencionado só precisa enviar uma pequena quantidade de tráfego de rede, uma vez, para iniciar o ataque. Em seguida, o servidor explorado envia uma quantidade maior e ampliada de tráfego continuamente para os sistemas de destino com o objetivo de sobrecarregá-los e causar uma negação de serviço, praticamente causando uma interrupção.
Anteriormente, o maior amplificador conhecido era capaz de aumentar o tráfego de ataque em um fator de 51.000. TP240PhoneHome aumenta eleva esse fator para mais de 4 bilhões — em um único pacote de iniciação de ataque enviado ao servidor explorado estão sendo gerados e enviados à rede de destino surpreendentes 4.294.967.296 pacotes de rede de tráfego de ataque. Como esses pacotes também aumentam de tamanho, isso resulta em uma amplificação de tráfego de mais de 220 bilhões por cento.
Quão perigoso é o ataque DDoS TP240PhoneHome?
A resposta curta é: Apesar de sua eficiência recorde de amplificação, o risco dessa exploração é baixo para empresas que têm medidas sólidas de proteção contra DDoS em vigor. Para aqueles que não possuem essas camadas de proteção, esse ataque (e muitos outros ataques DDoS) pode causar danos graves e interrupção nos negócios, tornando os sistemas e aplicações inacessíveis e inutilizáveis por longos períodos de tempo.
O ataque TP240PhoneHome baseia-se em sistemas Mitel MiCollab configurados de forma maliciosa e, de acordo com os nossos resultados, havia apenas cerca de 2.600 deles no momento da pesquisa. Isso limita o volume geral, e uma limitação adicional é causada pelo fato de que os ataques só podem ser executados em série, e não em paralelo.
A Mitel foi informada sobre o problema e logo emitiu um aviso de segurança e instruções para eliminar a vulnerabilidade. Os clientes da Mitel cujos sistemas estão sendo explorados podem sofrer efeitos colaterais, tais como interrupção parcial ou total da comunicação por voz e degradação do desempenho e da funcionalidade.
De que forma a Akamai pode ajudá-lo?
Clientes que usam o Prolexic da Akamai, nossa solução de proteção contra DDoS, já estão seguros, pois o Prolexic pode lidar com ataques de amplificação como TP240PhoneHome e manter o tráfego de ataque longe de sua rede e servidores. O Prolexic pode lidar facilmente com os volumes esperados e foi atualizado com regras de mitigação especificamente para TP240PhoneHome. Graças ao seu acordo de nível de serviço (SLA) de zero segundo, o Prolexic atenua um possível ataque instantaneamente, sem nenhuma interrupção perceptível do serviço ou degradação do desempenho de seus sistemas.
Aplicações Web de clientes na Akamai Intelligent Edge Platform, como as que usam o Akamai App and API Protector ou tráfego servido via soluções de rede de entrega de conteúdo (CDN), são inerentemente protegidos contra esses tipos de ataques DDoS devido à natureza da plataforma. Nossa plataforma foi projetada como um proxy reverso e aceita apenas tráfego HTTP(S) bem formado. Todos os ataques DDoS da camada de rede são automaticamente descartados. O Prolexic deve se defender contra ataques que ignoram a plataforma Akamai direcionando os servidores de origem diretamente.
De que forma a Akamai detecta e atenua ataques de DDoS?
A Akamai tem uma ampla gama de recursos para atenuar os maiores, mais complexos e mais recentes vetores de DDoS do mundo. A Akamai administra a maior e mais confiável plataforma de entrega em nuvem do mundo, com quase 365.000 servidores em 135 países. Vemos e analisamos mais tráfego de rede do que qualquer outra empresa. A SIRT (Security Intelligence Response Team, equipe de resposta de inteligência de segurança) da Akamai colabora com clientes, outros membros da comunidade InfoSec, desenvolvimento de produtos, operações de rede e nossos centros de operações de segurança para identificar e mitigar vetores de ameaças e fornecer proteção ideal para serviços críticos aos negócios.
Quais são as melhores práticas recomendadas para proteção contra DDoS?
A Akamai recomenda várias práticas recomendadas para gerenciar riscos de DDoS. O primeiro e mais importante é implementar uma solução baseada em nuvem para correção de DDoS, como Edge DNS ou Prolexic. Dessa forma, você obtém a capacidade de consumir esses ataques e atenuá-los da melhor forma para um resultado bem-sucedido.
Em segundo lugar, recomendamos fortemente que as empresas façam parceria com um provedor de serviços de segurança gerenciados (MSS) com a experiência e os recursos técnicos para identificar essas ameaças, fornecer um plano de atenuação de recomendações e executar esse plano para interromper ataques sem interrupção nos negócios. A realização regular de validação de ameaças, avaliação de riscos e preparação operacional e de ataques sobrecarrega rapidamente as equipes internas e é mais bem feita por um parceiro forte especializado em fornecer serviços de segurança virtual que possa agregar e aproveitar a inteligência de ameaças de uma ampla variedade de clientes.
Saiba mais
Você pode saber mais sobre o Akamai Managed Security Service. Não hesite em entrar em contato conosco para respondermos suas perguntas.
