Numéro : AL22-003
Date : 8 mars 2022
Auditoire
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Vue d’ensemble
Le 22 février 2022, Mitel a publié un bulletin de sécurité pour faire état d’une vulnérabilité d’accès de sécurité liée à ses produits MiCollab et MiVoice Business Express. Un auteur de menace distant non authentifié pourrait exploiter cette vulnérabilité pour obtenir un accès non autorisé, exécuter potentiellement du code ou causer une attaque par déni de service sur ces systèmes.
Détails
Le 22 février 2022, Mitel a publié un bulletin de sécurité Note de bas de page1 pour faire état de vulnérabilités liées à ses produits MiCollab et MiVoice Business Express. L’exploitation de ces vulnérabilités pourrait mener à l’accès non autorisé à de l’information sensible et à des services, ou à l’exécution de code arbitraire. En soumettant des messages spécialement conçus à cet effet, un auteur de menace distant pourrait également exploiter ces systèmes pour générer d’importants volumes de trafic réseau susceptibles de servir à une attaque par déni de service.
Le 8 mars, le Centre pour la cybersécurité a diffusé un bulletin de sécurité traitant de ces produits Mitel et plusieurs sources ont publié des articles détaillés sur cette vulnérabilité et l’activité d’exploitation observée qui y est associée Note de bas de page3Note de bas de page4Note de bas de page5Note de bas de page6
De nombreuses sources Note de bas de page4Note de bas de page5Note de bas de page6 ont signalé que cette vulnérabilité avait été exploitée de manière à causer une réflexion ou amplification importante du trafic et que dernier avait été utilisé pour lancer une attaque par DDoS percutante. Les rapports indiquent que l’exploitation de cette vulnérabilité a donné lieu à une amplification de 53 millions de paquets par seconde et que cette activité avait duré plusieurs heures.
Atténuation
Pour ce qui est des organisations ayant déployé ces produits, Mitel a recommandé de mettre en place les mesures d’atténuation suivantes pour protéger ces systèmes contre des exploitations externes :
- Configurer les systèmes derrière un pare-feu ou un appareil Mitel Border Gateway afin de veiller à ce que les produits MiCollab et MiVoice ne soient pas exposés directement à Internet.
- Appliquer les règles de pare-feu adéquates pour bloquer l’accès externe à des ports précis (UDP 10074).
- Mitel a publié un script Note de bas de page2 pour atténuer cette vulnérabilité.
Pour les responsables de la défense des périmètres de réseau, il est recommandé d’adopter une approche à la sécurité multicouche en mettant en œuvre plusieurs contrôles et techniques, et de veiller à ce qu’un plan soit en place pour atténuer les attaques par DDoS et intervenir le cas échéant.
- Passez en revue et mettez en œuvre les conseils formulés dans la publication du Centre pour la cybersécurité Note de bas de page7 intitulée Protéger son organisation contre les attaques par déni de service.
- Surveillez les ports UDP pour tout trafic entrant en provenance du port UDP 10074 et envisagez de mettre en place des mesures d’atténuation, comme des règles de pare-feu, si vous observez des activités similaires à ce qui est décrit dans la présente alerte.