Wyjątkowość ta polega na tym, że jeden program może zainicjować atak DDoS bombardujący swoją ofiarę olbrzymią ilością pakietów, oferując wtedy tzw. współczynnik wzmocnienia zainicjowanego na samym początku ruchu sieciowego (z ang. amplification ratio) większy niż 1:4 mld.

Jest to możliwe za sprawą specyficznej podatności znajdującej się w biznesowych systemach telefonicznym MiCollab i MiVoice Business Express produkowanych przez firmę Mitel, której nadano kodową nazwę CVE-2022-26143 (znanej również jako TP240PhoneHome). Są to urządzenia pełniące rolę bram PBX-to-internet.

Zobacz również:

• Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google
• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Badania wykazały, że podatność pozwala hakerowi tak skonfigurować sterownik zarządzający bramą, by generował on wtedy testowe polecenia, które w standardowej konfiguracji nie komunikują się z internetem. W tym scenariuszu polecenie mające długość zaledwie nieco ponad 1 kB może zainicjować atak trwający wiele godzin, generując wtedy w ciągu każdej sekundy ponad 53 mln pakietów o długości 1184 bajtów. Są to ataki wykorzystujące technologię „reflection and amplification”, realizowane przy użyciu protokołu UDP.

Ataki DDoS wykorzystujące tę technologię są wyjątkowo szkodliwe, wysyłają na adres IP swojej ofiary (np. witryny www czy innego programu internetowego) tak dużą liczbę żądań, że w pewnym momencie blokuje się on kompletnie i odmawia świadczenia usług. Pierwsze ataki z wykorzystaniem tego exploita rozpoczęły się 18 lutego tego roku i dotyczyły głównie portów 80 i 443 oraz były wymierzone przede wszystkim w dostawców usług internetowych, instytucje finansowe i firmy logistyczne.

W przypadku organizacji, które posiadają te bramy PBX-to-internet, firma Mitel zaleciła następujące środki zaradcze w celu ochrony swoich systemów przed atakami. Należy je przede wszystkim instalować za zaporami sieciowym aby mieć pewność, że nie są one bezpośrednio narażone na ataki kierowane z Internetu. Zapory sieciowe należy natomiast tak skonfigurować, aby blokowały ruch kierowany do określonego portu UDP (UDP 10074). Firma Mitel udostępniła też skrypt noszący nazwę Footnote2, który blokuje takie ataki.