欢乐颂小说,好看的小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

黑客利用商業(yè)電話系統(tǒng)漏洞發(fā)起DDoS攻擊

從上月中旬開始，安全研究人員、網(wǎng)絡(luò)運營商和安全供應(yīng)商發(fā)現(xiàn)來自 UDP 端口 10074 的 DDoS 攻擊激增，目標是寬帶接入 ISP、金融機構(gòu)、物流公司和其他垂直市場的組織。

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：空間域名、網(wǎng)頁空間、營銷軟件、網(wǎng)站建設(shè)、善右網(wǎng)站維護、網(wǎng)站推廣。

經(jīng)進一步調(diào)查，被濫用發(fā)動這些攻擊的設(shè)備是 Mitel 生產(chǎn)的 MiCollab 和 MiVoice Business Express 協(xié)作系統(tǒng)，其中包含 TP-240 VoIP 處理接口卡和支持軟件；它們的主要功能是為 PBX 系統(tǒng)提供基于互聯(lián)網(wǎng)的站點到站點語音連接。

這些系統(tǒng)中大約有 2600 個配置不正確，因此未經(jīng)身份驗證的系統(tǒng)測試設(shè)施無意中暴露在公共 Internet 中，從而使攻擊者可以利用這些 PBX VoIP 網(wǎng)關(guān)作為 DDoS 反射器/放大器。

Mitel 意識到這些系統(tǒng)被濫用以促進高 pps（每秒數(shù)據(jù)包數(shù)）DDoS 攻擊，并一直在積極與客戶合作，通過修補軟件來修復可濫用設(shè)備，這些軟件會禁止公眾訪問系統(tǒng)測試設(shè)施。

接下來，研究人員將解釋驅(qū)動程序是如何被濫用的，并分享推薦的緩解措施。這項研究是由 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、NETSCOUT ASERT、TELUS、Team Cymru 和 Shadowserver Foundation 的一組研究人員合作創(chuàng)建的。

野外 DDoS 攻擊

雖然在 2022 年 1 月 8 日和 2 月 7 日觀察到與易受攻擊的服務(wù)相關(guān)的網(wǎng)絡(luò)流量峰值，但研究人員認為第一次利用該漏洞的實際攻擊始于 2 月 18 日。

觀察到的攻擊主要基于每秒數(shù)據(jù)包或流量，并且似乎是源自 UDP/10074 的 UDP 反射/放大攻擊，主要針對目標端口 UDP/80 和 UDP/443。在此之前觀察到的此類攻擊中最大的一次攻擊約為 53 Mpps 和 23 Gbps。該攻擊的平均數(shù)據(jù)包大小約為 60 字節(jié)，攻擊持續(xù)時間約為 5 分鐘。放大后的攻擊報文不分段。

這種特殊的攻擊向量與大多數(shù) UDP 反射/放大攻擊方法的不同之處在于，暴露的系統(tǒng)測試設(shè)施可被濫用，通過單一欺騙性攻擊啟動數(shù)據(jù)包發(fā)起長達 14 小時的持續(xù) DDoS 攻擊，從而產(chǎn)生的放大比為4294967296:1。對此 DDoS 攻擊向量的受控測試產(chǎn)生了超過 400 Mmpps 的持續(xù) DDoS 攻擊流量。

需要注意的是，這種單包攻擊發(fā)起能力具有阻止網(wǎng)絡(luò)運營商追溯被欺騙的攻擊發(fā)起者流量的效果。這有助于掩蓋攻擊流量生成基礎(chǔ)設(shè)施，與其他 UDP 反射/放大 DDoS 攻擊向量相比，攻擊來源被追蹤的可能性更低。

濫用 tp240dvr 驅(qū)動程序

受影響的 Mitel 系統(tǒng)上的濫用服務(wù)稱為 tp240dvr（“TP-240 驅(qū)動程序”），它看起來像是一個軟件橋，以促進與 TDM/VoIP PCI 接口卡的交互。該服務(wù)偵聽 UDP/10074 上的命令，并不意味著暴露給互聯(lián)網(wǎng)，正如這些設(shè)備的制造商所確認的那樣。正是這種對互聯(lián)網(wǎng)的暴露最終使它被濫用。

tp240dvr 服務(wù)公開了一個不尋常的命令，該命令旨在對其客戶端進行壓力測試，以便于調(diào)試和性能測試。此命令可被濫用以導致 tp240dvr 服務(wù)發(fā)送此壓力測試以攻擊受害者。流量由高速率的簡短信息狀態(tài)更新數(shù)據(jù)包組成，這些數(shù)據(jù)包可能會使受害者不堪重負并導致 DDoS 發(fā)生。

攻擊者也可以濫用此命令來發(fā)起非常高流量的攻擊。攻擊者可以使用自定義的命令使 tp240dvr 服務(wù)發(fā)送更大的信息狀態(tài)更新數(shù)據(jù)包，從而顯著提高放大率。

通過在實驗室環(huán)境中廣泛測試基于 TP-240 的隔離虛擬系統(tǒng)，研究人員能夠使這些設(shè)備產(chǎn)生大量流量以響應(yīng)相對較小的請求負載。研究人員將在以下部分中更深入地介紹這種攻擊場景。

計算潛在的攻擊影響

如上所述，通過這種可濫用的測試工具進行放大與使用大多數(shù)其他 UDP 反射/放大 DDoS 向量實現(xiàn)的方式大不相同。通常，反射/放大攻擊要求攻擊者持續(xù)向可濫用節(jié)點傳輸惡意有效載荷，只要他們希望攻擊受害者。在 TP-240 反射/放大的情況下，這種持續(xù)傳輸并不是發(fā)起具有巨大影響 DDoS 攻擊的必要條件。

相反，利用 TP-240 反射/放大的攻擊者可以使用單個數(shù)據(jù)包發(fā)起高影響 DDoS 攻擊。對 tp240dvr 二進制文件的檢測表明，由于其設(shè)計，攻擊者理論上可以使服務(wù)對單個惡意命令發(fā)出 2147483647 個響應(yīng)。每個響應(yīng)在網(wǎng)絡(luò)上生成兩個數(shù)據(jù)包，導致大約 4294967294 個放大的攻擊數(shù)據(jù)包被定向到攻擊目標。

對于命令的每個響應(yīng)，第一個數(shù)據(jù)包包含一個計數(shù)器，該計數(shù)器隨著每個發(fā)送的響應(yīng)而遞增。隨著計數(shù)器值的增加，第一個數(shù)據(jù)包的大小將從 36 字節(jié)增長到 45 字節(jié)。第二個數(shù)據(jù)包包含函數(shù)的診斷輸出，可能會受到攻擊者的影響。通過優(yōu)化每個啟動器數(shù)據(jù)包以最大化第二個數(shù)據(jù)包的大小，每個命令都將導致最大長度為 1184 字節(jié)的放大數(shù)據(jù)包。

理論上，單個可濫用節(jié)點以 80kpps 的速率生成最大 4294967294 個數(shù)據(jù)包將導致大約 14 小時的攻擊持續(xù)時間。在攻擊過程中，僅“計數(shù)器”數(shù)據(jù)包就會產(chǎn)生大約 95.5GB 的放大攻擊流量，發(fā)向目標網(wǎng)絡(luò)。最大填充的“診斷輸出”數(shù)據(jù)包將額外增加 2.5TB 的針對目標的攻擊流量。

這將產(chǎn)生來自單個反射器/放大器的攻擊流量接近 393mb/秒的持續(xù)泛濫，所有這些都是由長度僅為 1119 字節(jié)的單個欺騙攻擊發(fā)起者數(shù)據(jù)包造成的。這導致了幾乎無法想象的 2200288816:1 的放大率。

最大攻擊量

tp240dvr 服務(wù)使用單線程處理命令，這意味著它們一次只能處理一個命令，因此每次只能用于發(fā)起一種攻擊。在上述示例場景中， 14 小時內(nèi)，它不能被用來攻擊任何其他目標。盡管這一特性也導致合法用戶無法使用 tp240dvr 服務(wù)，但這比讓多個攻擊者并行利用這些設(shè)備要好得多。

此外，就流量生成能力而言，這些設(shè)備似乎在相對低功耗的硬件上。在 100/Gbps 鏈接、數(shù)十個 CPU 內(nèi)核和多線程功能已司空見慣的互聯(lián)網(wǎng)環(huán)境中，慶幸的是，在能夠單獨生成數(shù)百萬個數(shù)據(jù)的頂級硬件平臺上找不到這種可濫用的服務(wù)每秒數(shù)據(jù)包，并以數(shù)千個并行線程運行。

最后，還有一個好消息是，在由全球政府、商業(yè)企業(yè)和其他組織購買和部署的數(shù)以萬計的此類設(shè)備中，其中相對較少的設(shè)備的配置方式使它們無法使用。從攻擊者的角度來看，許多都得到了適當?shù)谋Ｗo，并使其離線。

間接影響

TP-240 反射/放大攻擊的間接影響對于擁有暴露于互聯(lián)網(wǎng)的 Mitel MiCollab 和 MiVoice Business Express 協(xié)作系統(tǒng)被濫用為 DDoS 反射器/放大器的組織可能具有重大意義。

這可能包括通過這些系統(tǒng)的部分或全部語音通信中斷，以及由于傳輸容量消耗、NAT 狀態(tài)表耗盡和狀態(tài)防火墻等導致的額外服務(wù)中斷。

網(wǎng)絡(luò)運營商批量過濾所有UDP/10074來源的流量可能會潛在地屏蔽合法的互聯(lián)網(wǎng)流量，因此是禁忌的。

緩解措施

TP-240 反射/放大 DDoS 攻擊源自 UDP/10074，并以攻擊者選擇的 UDP 端口為目標?？梢允褂脴藴?DDoS 防御工具和技術(shù)檢測、分類、追蹤和安全緩解這種放大的攻擊流量。

通過開源和商業(yè)分析系統(tǒng)的流量監(jiān)測和數(shù)據(jù)包捕獲可以提醒網(wǎng)絡(luò)運營商和最終客戶 TP-240 反射/放大攻擊。

可以使用網(wǎng)絡(luò)訪問控制列表 (ACL)、流規(guī)范、基于目標的遠程觸發(fā)黑洞 (D/RTBH)、基于源的遠程觸發(fā)黑洞 (S/RTBH) 和智能 DDoS 緩解系統(tǒng)緩解這些攻擊。

網(wǎng)絡(luò)運營商應(yīng)進行監(jiān)測，以識別并促進對其網(wǎng)絡(luò)或客戶網(wǎng)絡(luò)上可濫用的 TP-240 反射器/放大器的修復。 Mitel MiCollab 和 MiVoice Business Express 協(xié)作系統(tǒng)的運營商應(yīng)主動聯(lián)系 Mitel，以便從供應(yīng)商處獲得具體的修復命令。

擁有面向公眾的關(guān)鍵業(yè)務(wù)互聯(lián)網(wǎng)資產(chǎn)的組織應(yīng)確保已實施所有相關(guān)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、架構(gòu)和運營最佳當前實踐 (BCP)，包括僅允許通過所需 IP 協(xié)議和端口進行互聯(lián)網(wǎng)流量的特定情況的網(wǎng)絡(luò)訪問策略。內(nèi)部組織人員的互聯(lián)網(wǎng)接入網(wǎng)絡(luò)流量應(yīng)與面向公眾的互聯(lián)網(wǎng)流量隔離，并通過單獨的上游互聯(lián)網(wǎng)中轉(zhuǎn)鏈接提供服務(wù)。

所有面向公眾的互聯(lián)網(wǎng)資產(chǎn)和支持基礎(chǔ)設(shè)施的 DDoS 防御應(yīng)以實際情況為準，包括定期測試，以確保將組織服務(wù)器/服務(wù)/應(yīng)用程序的任何更改納入其 DDoS 防御計劃。

運營面向公眾的關(guān)鍵任務(wù)互聯(lián)網(wǎng)資產(chǎn)或基礎(chǔ)設(shè)施的組織必須確保所有服務(wù)器/服務(wù)/應(yīng)用程序/數(shù)據(jù)存儲/基礎(chǔ)設(shè)施元素都受到保護，不受DDoS 攻擊。此計劃必須包括關(guān)鍵的輔助支持服務(wù)。

為了防止攻擊者發(fā)起反射/放大DDoS攻擊，網(wǎng)絡(luò)運營商需要對進出源地址進行驗證。

基于tp -240的Mitel MiCollab和MiVoice Business Express協(xié)同系統(tǒng)的運營商可以通過訪問控制列表(acl)、防火墻規(guī)則和其他標準的網(wǎng)絡(luò)訪問控制策略實施機制，阻斷以UDP/10074為目標的Internet流量，從而防止系統(tǒng)被濫用來發(fā)起DDoS攻擊。

Mitel已經(jīng)提供了補丁軟件版本，防止安裝了tp -240的MiCollab和MiVoice Business Express協(xié)作系統(tǒng)被濫用為DDoS反射器/放大器，防止該服務(wù)暴露在互聯(lián)網(wǎng)上。Mitel客戶應(yīng)聯(lián)系供應(yīng)商獲取修復指示。

對可濫用的 TP-240 反射器/放大器的間接影響可以提醒網(wǎng)絡(luò)運營商或最終客戶從“非軍事區(qū)”（DMZ）網(wǎng)絡(luò)或互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）中刪除受影響的系統(tǒng)，或禁用相關(guān)的 UDP 端口轉(zhuǎn)發(fā)規(guī)則允許來自公共互聯(lián)網(wǎng)的特定 UDP/10074 流量到達這些設(shè)備，從而防止它們被濫用以發(fā)起反射/放大 DDoS 攻擊。

放大的攻擊流量不存在碎片化，因此也就不存在由非初始碎片組成的額外攻擊組件，就像許多其他 UDP 反射/放大 DDoS 向量的情況一樣。

入口和出口源地址驗證的實現(xiàn)(SAV;也稱為anti-spoofing)可以防止攻擊者發(fā)起反射/放大DDoS攻擊。

總結(jié)

許多不應(yīng)該暴露在公共互聯(lián)網(wǎng)上的可濫用服務(wù)卻被攻擊者利用，供應(yīng)商可以通過在發(fā)貨前在設(shè)備上采用“默認安全”的設(shè)置來防止這種情況。

如果所有網(wǎng)絡(luò)運營商都實施了入口和出口源地址驗證（SAV，也稱為反欺騙），則無法發(fā)起反射/放大 DDoS 攻擊。發(fā)起此類攻擊需要能夠欺騙預(yù)期攻擊目標的 IP 地址。服務(wù)提供商必須繼續(xù)在自己的網(wǎng)絡(luò)中實施 SAV，并要求其下游客戶這樣做。

在攻擊者使用自定義 DDoS 攻擊基礎(chǔ)設(shè)施的初始階段之后，TP-240 反射/放大似乎已被武器化并添加到所謂的“ booter/stresser” DDoS-for-hire 服務(wù)，將其置于一般攻擊者的范圍內(nèi)。

本文翻譯自：https://blog.cloudflare.com/cve-2022-26143/如若轉(zhuǎn)載，請注明原文地址。

文章題目：黑客利用商業(yè)電話系統(tǒng)漏洞發(fā)起DDoS攻擊
鏈接地址：http://m.fisionsoft.com.cn/article/dhicjpj.html