从上月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。
经进一步调查,被滥用发动这些攻击的设备是 Mitel 生产的 MiCollab 和 MiVoice Business Express 协作系统,其中包含 TP-240 VoIP 处理接口卡和支持软件;它们的主要功能是为 PBX 系统提供基于互联网的站点到站点语音连接。
这些系统中大约有 2600 个配置不正确,因此未经身份验证的系统测试设施无意中暴露在公共 Internet 中,从而使攻击者可以利用这些 PBX VoIP 网关作为 DDoS 反射器/放大器。
Mitel 意识到这些系统被滥用以促进高 pps(每秒数据包数)DDoS 攻击,并一直在积极与客户合作,通过修补软件来修复可滥用设备,这些软件会禁止公众访问系统测试设施。
接下来,研究人员将解释驱动程序是如何被滥用的,并分享推荐的缓解措施。这项研究是由 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、NETSCOUT ASERT、TELUS、Team Cymru 和 Shadowserver Foundation 的一组研究人员合作创建的。
野外 DDoS 攻击
虽然在 2022 年 1 月 8 日和 2 月 7 日观察到与易受攻击的服务相关的网络流量峰值,但研究人员认为第一次利用该漏洞的实际攻击始于 2 月 18 日。
观察到的攻击主要基于每秒数据包或流量,并且似乎是源自 UDP/10074 的 UDP 反射/放大攻击,主要针对目标端口 UDP/80 和 UDP/443。在此之前观察到的此类攻击中最大的一次攻击约为 53 Mpps 和 23 Gbps。该攻击的平均数据包大小约为 60 字节,攻击持续时间约为 5 分钟。放大后的攻击报文不分段。
这种特殊的攻击向量与大多数 UDP 反射/放大攻击方法的不同之处在于,暴露的系统测试设施可被滥用,通过单一欺骗性攻击启动数据包发起长达 14 小时的持续 DDoS 攻击,从而产生的放大比为4294967296:1。对此 DDoS 攻击向量的受控测试产生了超过 400 Mmpps 的持续 DDoS 攻击流量。
需要注意的是,这种单包攻击发起能力具有阻止网络运营商追溯被欺骗的攻击发起者流量的效果。这有助于掩盖攻击流量生成基础设施,与其他 UDP 反射/放大 DDoS 攻击向量相比,攻击来源被追踪的可能性更低。
滥用 tp240dvr 驱动程序
受影响的 Mitel 系统上的滥用服务称为 tp240dvr(“TP-240 驱动程序”),它看起来像是一个软件桥,以促进与 TDM/VoIP PCI 接口卡的交互。该服务侦听 UDP/10074 上的命令,并不意味着暴露给互联网,正如这些设备的制造商所确认的那样。正是这种对互联网的暴露最终使它被滥用。
tp240dvr 服务公开了一个不寻常的命令,该命令旨在对其客户端进行压力测试,以便于调试和性能测试。此命令可被滥用以导致 tp240dvr 服务发送此压力测试以攻击受害者。流量由高速率的简短信息状态更新数据包组成,这些数据包可能会使受害者不堪重负并导致 DDoS 发生。
攻击者也可以滥用此命令来发起非常高流量的攻击。攻击者可以使用自定义的命令使 tp240dvr 服务发送更大的信息状态更新数据包,从而显着提高放大率。
通过在实验室环境中广泛测试基于 TP-240 的隔离虚拟系统,研究人员能够使这些设备产生大量流量以响应相对较小的请求负载。研究人员将在以下部分中更深入地介绍这种攻击场景。
计算潜在的攻击影响
如上所述,通过这种可滥用的测试工具进行放大与使用大多数其他 UDP 反射/放大 DDoS 向量实现的方式大不相同。通常,反射/放大攻击要求攻击者持续向可滥用节点传输恶意有效载荷,只要他们希望攻击受害者。在 TP-240 反射/放大的情况下,这种持续传输并不是发起具有巨大影响 DDoS 攻击的必要条件。
相反,利用 TP-240 反射/放大的攻击者可以使用单个数据包发起高影响 DDoS 攻击。对 tp240dvr 二进制文件的检测表明,由于其设计,攻击者理论上可以使服务对单个恶意命令发出 2147483647 个响应。每个响应在网络上生成两个数据包,导致大约 4294967294 个放大的攻击数据包被定向到攻击目标。
对于命令的每个响应,第一个数据包包含一个计数器,该计数器随着每个发送的响应而递增。随着计数器值的增加,第一个数据包的大小将从 36 字节增长到 45 字节。第二个数据包包含函数的诊断输出,可能会受到攻击者的影响。通过优化每个启动器数据包以最大化第二个数据包的大小,每个命令都将导致最大长度为 1184 字节的放大数据包。
理论上,单个可滥用节点以 80kpps 的速率生成最大 4294967294 个数据包将导致大约 14 小时的攻击持续时间。在攻击过程中,仅“计数器”数据包就会产生大约 95.5GB 的放大攻击流量,发向目标网络。最大填充的“诊断输出”数据包将额外增加 2.5TB 的针对目标的攻击流量。
这将产生来自单个反射器/放大器的攻击流量接近 393mb/秒的持续泛滥,所有这些都是由长度仅为 1119 字节的单个欺骗攻击发起者数据包造成的。这导致了几乎无法想象的 2200288816:1 的放大率。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
