黑客借助商业电话系统漏洞发起 DDoS 攻击
发布时间:2022-06-08 14:34:30 所属栏目:安全 来源:互联网
导读:从上月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。 经进一步调查,被滥用发动这些攻击的设备是 Mitel 生产的 MiCollab 和 MiVoice Business E
|
从上月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。 经进一步调查,被滥用发动这些攻击的设备是 Mitel 生产的 MiCollab 和 MiVoice Business Express 协作系统,其中包含 TP-240 VoIP 处理接口卡和支持软件;它们的主要功能是为 PBX 系统提供基于互联网的站点到站点语音连接。 这些系统中大约有 2600 个配置不正确,因此未经身份验证的系统测试设施无意中暴露在公共 Internet 中,从而使攻击者可以利用这些 PBX VoIP 网关作为 DDoS 反射器/放大器。 这种特殊的攻击向量与大多数 UDP 反射/放大攻击方法的不同之处在于,暴露的系统测试设施可被滥用,通过单一欺骗性攻击启动数据包发起长达 14 小时的持续 DDoS 攻击,从而产生的放大比为4294967296:1。对此 DDoS 攻击向量的受控测试产生了超过 400 Mmpps 的持续 DDoS 攻击流量。 需要注意的是,这种单包攻击发起能力具有阻止网络运营商追溯被欺骗的攻击发起者流量的效果。这有助于掩盖攻击流量生成基础设施,与其他 UDP 反射/放大 DDoS 攻击向量相比,攻击来源被追踪的可能性更低。 计算潜在的攻击影响 如上所述,通过这种可滥用的测试工具进行放大与使用大多数其他 UDP 反射/放大 DDoS 向量实现的方式大不相同。通常,反射/放大攻击要求攻击者持续向可滥用节点传输恶意有效载荷,只要他们希望攻击受害者。在 TP-240 反射/放大的情况下,这种持续传输并不是发起具有巨大影响 DDoS 攻击的必要条件。 相反,利用 TP-240 反射/放大的攻击者可以使用单个数据包发起高影响 DDoS 攻击。对 tp240dvr 二进制文件的检测表明,由于其设计,攻击者理论上可以使服务对单个恶意命令发出 2147483647 个响应。每个响应在网络上生成两个数据包,导致大约 4294967294 个放大的攻击数据包被定向到攻击目标。 对于命令的每个响应,第一个数据包包含一个计数器,该计数器随着每个发送的响应而递增。随着计数器值的增加,第一个数据包的大小将从 36 字节增长到 45 字节。第二个数据包包含函数的诊断输出,可能会受到攻击者的影响。通过优化每个启动器数据包以最大化第二个数据包的大小,每个命令都将导致最大长度为 1184 字节的放大数据包。 理论上,单个可滥用节点以 80kpps 的速率生成最大 4294967294 个数据包将导致大约 14 小时的攻击持续时间。在攻击过程中,仅“计数器”数据包就会产生大约 95.5GB 的放大攻击流量,发向目标网络。最大填充的“诊断输出”数据包将额外增加 2.5TB 的针对目标的攻击流量。 这将产生来自单个反射器/放大器的攻击流量接近 393mb/秒的持续泛滥,所有这些都是由长度仅为 1119 字节的单个欺骗攻击发起者数据包造成的。这导致了几乎无法想象的 2200288816:1 的放大率。 最大攻击量 tp240dvr 服务使用单线程处理命令,这意味着它们一次只能处理一个命令,因此每次只能用于发起一种攻击。在上述示例场景中, 14 小时内,它不能被用来攻击任何其他目标。尽管这一特性也导致合法用户无法使用 tp240dvr 服务,但这比让多个攻击者并行利用这些设备要好得多。 此外,就流量生成能力而言,这些设备似乎在相对低功耗的硬件上。在 100/Gbps 链接、数十个 CPU 内核和多线程功能已司空见惯的互联网环境中,庆幸的是,在能够单独生成数百万个数据的顶级硬件平台上找不到这种可滥用的服务每秒数据包,并以数千个并行线程运行。 缓解措施 TP-240 反射/放大 DDoS 攻击源自 UDP/10074,并以攻击者选择的 UDP 端口为目标。可以使用标准 DDoS 防御工具和技术检测、分类、追踪和安全缓解这种放大的攻击流量。 通过开源和商业分析系统的流量监测和数据包捕获可以提醒网络运营商和最终客户 TP-240 反射/放大攻击。 可以使用网络访问控制列表 (ACL)、流规范、基于目标的远程触发黑洞 (D/RTBH)、基于源的远程触发黑洞 (S/RTBH) 和智能 DDoS 缓解系统缓解这些攻击。 网络运营商应进行监测,以识别并促进对其网络或客户网络上可滥用的 TP-240 反射器/放大器的修复。 Mitel MiCollab 和 MiVoice Business Express 协作系统的运营商应主动联系 Mitel,以便从供应商处获得具体的修复命令。 拥有面向公众的关键业务互联网资产的组织应确保已实施所有相关的网络基础设施、架构和运营最佳当前实践 (BCP),包括仅允许通过所需 IP 协议和端口进行互联网流量的特定情况的网络访问策略。内部组织人员的互联网接入网络流量应与面向公众的互联网流量隔离,并通过单独的上游互联网中转链接提供服务。 所有面向公众的互联网资产和支持基础设施的 DDoS 防御应以实际情况为准,包括定期测试,以确保将组织服务器/服务/应用程序的任何更改纳入其 DDoS 防御计划。 运营面向公众的关键任务互联网资产或基础设施的组织必须确保所有服务器/服务/应用程序/数据存储/基础设施元素都受到保护,不受DDoS 攻击。此计划必须包括关键的辅助支持服务。 放大的攻击流量不存在碎片化,因此也就不存在由非初始碎片组成的额外攻击组件,就像许多其他 UDP 反射/放大 DDoS 向量的情况一样。 入口和出口源地址验证的实现(SAV;也称为anti-spoofing)可以防止攻击者发起反射/放大DDoS攻击。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号