Skip to main content
Dark background with blue code overlay

Blog

The “PhoneHome” DDoS Attack — Everything You Need to Know

Sven Dummer

Written by

Sven Dummer

March 17, 2022

Sven Dummer leads product marketing, helping companies to build better online experiences for their customers through cloud-based Customer Identity and Access Management (CIAM). Previously, Sven worked with Silicon Valley startups as well as Fortune500 companies, including Yahoo, Wind River (acquired by Intel), SUSE and Microsoft in product development, product marketing and management roles. At Intel, Sven also helped launch (and named) the collaborative Yocto Project, an open-source initiative that enables users to create custom Linux-based systems for IoT devices regardless of the hardware architecture. Sven is based in the San Francisco Bay Area.

[¿Está sufriendo ataques? Haga clic aquí si necesita protección urgente contra DDoS. ]

Una vulnerabilidad en el paquete de colaboración empresarial MiCollab, de la empresa de telecomunicaciones Mitel, ha sido abusada para ataques distribuidos de denegación de servicio (DDoS) con un potencial de amplificación sin precedentes.

¿Qué sucedió?

A mediados de febrero de 2022, los investigadores de seguridad, los operadores de red y los proveedores de seguridad observaron un aumento de ataques DDoS dirigidos a proveedores de servicios de Internet, instituciones financieras, empresas de logística y diversas organizaciones en otros mercados.

Akamai colaboró con otros miembros de la comunidad InfoSec para investigar los ataques y publicó un análisis detallado el 8 de marzo. Los ataques pudieron rastrearse a los componentes de hardware (tarjetas de interfaz VoIP TP-240) que son parte de los productos MiCollab y MiVoice Business Express de Mitel, un avanzado sistema de telefonía empresarial.

El grupo de trabajo de investigación determinó que en torno a 2600 de estos sistemas se configuraron de una manera que permitió a los agentes maliciosos vulnerarlos para iniciar ataques DDoS contra otras redes a través de Internet. Esta vulnerabilidad, llamada "TP240PhoneHome" y rastreada como CVE-2022-26143, se está explotando activamente. 

¿Cuál es la importancia del ataque DDoS TP240PhoneHome?

TP240PhoneHome cuenta con un excepcional potencial de amplificación, por lo que eclipsa el potencial de todos los ataques DDoS conocidos anteriormente. Normalmente, sería necesario un agente malicioso para mantener un flujo de tráfico de red hacia el servidor vulnerado para mantener el ataque. En este ataque, un agente malicioso solo necesita enviar una pequeña cantidad de tráfico de red, una sola vez, para iniciar el ataque. A continuación, el servidor vulnerado envía una mayor cantidad de tráfico amplificado de manera continua a los sistemas de destino con el objetivo de saturarlos y causar una denegación de servicio, lo que prácticamente será causa de una interrupción. 

Anteriormente, el amplificador más grande conocido podía aumentar el tráfico de ataque en un factor de 51 000. TP240PhoneHome eleva este registro a más de 4000 millones; para un único paquete de inicio de ataque enviado al servidor vulnerado, se generan y envían a la red de destino la vertiginosa cantidad de 4 294 967 296 paquetes de red de tráfico de ataque. A medida que estos paquetes también van aumentando en tamaño, esto causa una amplificación del tráfico superior a 220 000 millones por ciento.

¿En qué medida es peligroso el ataque DDoS TP240PhoneHome?

La respuesta corta es: A pesar de su eficiencia de amplificación sin precedentes, el riesgo de este ataque es bajo para las empresas que cuentan con medidas de protección DDoS sólidas. Para aquellas que no cuentan con dichas capas de protección, este ataque (y muchos otros ataques DDoS) puede causar daños graves y la interrupción del negocio al hacer que los sistemas y las aplicaciones queden inaccesibles e inutilizables durante largos períodos de tiempo.

El ataque TP240PhoneHome aprovecha los sistemas Mitel MiCollab mal configurados y, según nuestros hallazgos, solo había alrededor de 2600 de estos en el momento de la investigación. Esto limita el volumen general; además, existe una limitación adicional en el hecho de que los ataques solo se pueden ejecutar en serie, pero no en paralelo. 

Se ha informado a Mitel sobre el problema que, por su parte, ha lanzado un aviso de seguridad e instrucciones para eliminar la vulnerabilidad. Los clientes de Mitel cuyos sistemas están siendo vulnerados podrían sufrir efectos colaterales como la interrupción parcial o total de la comunicación de voz, así como la degradación del rendimiento y la funcionalidad.

¿En qué puede ayudarle Akamai?

Los clientes que utilizan Akamai Prolexic, nuestra solución de protección DDoS, ya están a salvo, ya que Prolexic es capaz de gestionar ataques de amplificación como TP240PhoneHome y mantener el tráfico de ataque alejado de su red y servidores. Prolexic es capaz de gestionar fácilmente los volúmenes esperados y se ha actualizado con reglas de mitigación específicas para TP240PhoneHome. Gracias a su acuerdo de nivel de servicio (SLA, por sus siglas en inglés) de cero segundos, Prolexic mitigaría un posible ataque instantáneamente, sin que se produjese una interrupción perceptible del servicio ni la degradación del rendimiento de sus sistemas.

Las aplicaciones web del cliente en Akamai Intelligent Edge Platform, como las que utilizan Kona Site Defender o tráfico servido a través de soluciones de red de distribución de contenido (CDN), están inherentemente protegidas contra estos tipos de ataques DDoS debido a la naturaleza de la plataforma. Nuestra plataforma está diseñada como un proxy inverso y solo acepta tráfico HTTP(S) generado correctamente. Todos los ataques DDoS a la capa de red se contrarrestan automáticamente. Prolexic debe defenderse de los ataques que sortean la plataforma de Akamai dirigiéndose directamente a los servidores de origen.

¿Cómo detecta y mitiga Akamai los ataques DDoS?

Akamai cuenta con una amplia gama de funciones para mitigar los vectores DDoS más grandes, más complejos y más recientes en el mundo. Akamai dirige la plataforma de entrega en la nube más grande y confiable del mundo, con casi 365 000 servidores en 135 países, y somos los que más tráfico de red vemos y analizamos. El equipo de respuesta a incidentes e inteligencia en seguridad de Akamai (SIRT, por sus siglas en inglés) colabora con los clientes, otros miembros de la comunidad de InfoSec, el desarrollo de producto, las operaciones de red y nuestros centros de operaciones de seguridad para identificar y mitigar los vectores de amenaza y proporcionar una protección óptima para los servicios críticos de las empresas.

¿Cuáles son las prácticas recomendadas para la protección DDoS?

Akamai aconseja varias prácticas recomendadas para gestionar los riesgos de DDoS. Lo primero y más importante es implementar una solución basada en la nube para la reparación de DDoS, como Edge DNS o Prolexic. Aquí es donde tiene la capacidad de consumir estos ataques y mitigarlos con las mejores posibilidades de obtener un resultado satisfactorio.

En segundo lugar, recomendamos encarecidamente que las empresas trabajen con un proveedor de servicios de seguridad gestionados (MSS, por sus siglas en inglés) con la experiencia y las capacidades técnicas para identificar estas amenazas, proporcionar un plan de mitigación recomendado y poner en marcha dicho plan para detener los ataques sin que se produzcan interrupciones en el negocio. Realizar una validación periódica de amenazas, una evaluación de riesgos y la preparación operativa y de ataques con rapidez sobrecarga a los equipos internos, por lo que es preferible externalizarlo a un partner competente que se especialice en servicios de ciberseguridad y que pueda acumular y aprovechar la inteligencia ante amenazas de una amplia variedad de clientes.

Más información

Puede obtener más información sobre Managed Security Service de Akamai. No dude en contactar con nosotros si tiene dudas.



Sven Dummer

Written by

Sven Dummer

March 17, 2022

Sven Dummer leads product marketing, helping companies to build better online experiences for their customers through cloud-based Customer Identity and Access Management (CIAM). Previously, Sven worked with Silicon Valley startups as well as Fortune500 companies, including Yahoo, Wind River (acquired by Intel), SUSE and Microsoft in product development, product marketing and management roles. At Intel, Sven also helped launch (and named) the collaborative Yocto Project, an open-source initiative that enables users to create custom Linux-based systems for IoT devices regardless of the hardware architecture. Sven is based in the San Francisco Bay Area.