自上月中旬以来,安全研究人员、网络运营商和安全厂商发现来自UDP10074端口的DDoS攻击激增,目标是宽带接入ISP、金融机构、物流公司和其他垂直市场的组织。经进一步调查,此次攻击被滥用的设备为敏迪公司生产的MiCollab和MiVoiceBusinessExpress协作系统,由TP-240VoIP处理接口卡和配套软件组成;它们的主要功能是提供基于Internet的站点到PBX系统站点的语音连接。这些系统中大约有2,600个配置错误,因此未经身份验证的系统测试设施无意中暴露在公共互联网上,允许攻击者利用这些PBXVoIP网关作为DDoS反射器/放大器。Mitel意识到这些系统正被滥用以促进高pps(每秒数据包)DDoS攻击,并一直积极与客户合作,通过软件补丁修复可滥用的设备,这些补丁会阻止公众访问系统测试设施。接下来,研究人员解释了驱动程序如何被滥用并分享建议的缓解措施。该研究是由来自AkamaiSIRT、Cloudflare、LumenBlackLotusLabs、NETSCOUTASERT、TELUS、TeamCymru和ShadowserverFoundation的研究人员团队合作创建的。野外DDoS攻击虽然在2022年1月8日和2月7日观察到与易受攻击服务相关的网络流量激增,但研究人员认为,利用该漏洞的第一次实际攻击始于2月18日。观察到的攻击主要基于每秒数据包数或流量,并且似乎是源自UDP/10074的UDP反射/放大攻击,主要针对端口UDP/80和UDP/443。在此之前观察到的最大此类攻击约为53Mpps和23Gbps。这次攻击的平均数据包大小约为60字节,攻击持续时间约为5分钟。放大后的攻击包没有被分段。这种特殊的攻击向量与大多数UDP反射/放大攻击方法的不同之处在于,暴露的系统测试设施可以被滥用,以单个欺骗攻击发起数据包发起长达14小时的持续DDoS攻击,导致放大倍数为4294967296:1.对该DDoS攻击向量的受控测试产生了超过400Mmpps的持续DDoS攻击流量。需要注意的是,这种单数据包攻击发起能力具有防止网络运营商追踪欺骗攻击发起者流量的作用。这有助于掩盖攻击流量生成基础设施,使攻击源比其他UDP反射/放大DDoS攻击向量更不容易被追踪。滥用tp240dvr驱动程序受影响的Mitel系统上的滥用服务称为tp240dvr(“TP-240驱动程序”),它似乎是一个软件桥接器,用于促进与TDM/VoIPPCI接口卡的交互。该服务侦听UDP/10074上的命令,并不打算暴露在互联网上,正如这些设备的制造商所确认的那样。正是这种对互联网的接触最终导致其被滥用。tp240dvr服务公开了一个不寻常的命令,旨在对其客户端进行压力测试以进行调试和性能测试。此命令可被滥用,导致tp240dvr服务发送此压力测试来攻击受害者。流量包含高速率的简短信息状态更新数据包,这些数据包可能会使受害者不堪重负并导致发生DDoS。攻击者也可以滥用该命令发起超高流量攻击。攻击者可以使用自定义命令使tp240dvr服务发送更大的信息状态更新包,从而显着提高放大率。通过在实验室环境中广泛测试隔离的基于TP-240的虚拟系统,研究人员能够使这些设备生成大量流量以响应相对较小的请求负载。研究人员在以下部分更深入地描述了这种攻击场景。计算潜在的攻击影响如上所述,通过这种可滥用的测试工具进行的放大与大多数其他UDP反射/放大DDoS向量所实现的放大非常不同。通常,反射/放大攻击要求攻击者继续将恶意有效载荷传输到可滥用节点,只要他们希望攻击受害者即可。在TP-240反射/放大的情况下,这种持续传输对于发动高影响DDoS攻击不是必需的。相反,利用TP-240反射/放大的攻击者可以使用单个数据包发起高影响DDoS攻击。对tp240dvr二进制文件的检查表明,由于其设计,攻击者理论上可以导致该服务对单个恶意命令发出2147483647次响应。每个响应在网络上生成两个数据包,导致大约4294967294个放大的攻击数据包被定向到攻击目标。对于命令的每个响应,第一个数据包包含一个计数器,该计数器随着每个响应的发送而递增。随着计数器值的增加,第一个数据包的大小将从36字节增加到45字节。第二个数据包包含函数的诊断输出,可能会受到攻击者的影响。通过优化每个启动器数据包以最大化第二个数据包的大小,每个命令将导致最大长度为1184字节的扩大数据包。理论上,单个可滥用节点以80kpps的速率生成最多4294967294个数据包将导致攻击持续时间约为14小时。在攻击期间,仅“计数器”数据包就向目标网络生成了大约95.5GB的放大攻击流量。最大填充的“诊断输出”数据包会给目标额外增加2.5TB的攻击流量。这将从单个反射器/放大器生成接近393mb/秒的持续攻击流量洪流,所有这些都来自长度仅为1119字节的单个欺骗发起者数据包。这导致了几乎难以想象的放大倍数2200288816:1。最大攻击量tp240dvr服务使用单线程处理命令,这意味着它们一次只能处理一个命令,因此一次只能用于发起一种类型的攻击。在上面的示例场景中,它在14小时内不能用于攻击任何其他目标。虽然此功能还使合法用户无法访问tp240dvr服务,但它比让多个攻击者同时利用这些设备要好得多。此外,就流量生成能力而言,这些设备似乎位于相对低功耗的硬件上。在100/Gbps链路、数十个CPU内核和多线程功能司空见惯的互联网环境中,幸运的是,在能够每秒生成数百万个数据包并以数千个数据包运行的顶级硬件平台上找不到此类可滥用的服务并行线程。最后,好消息是,在全球政府、商业企业和其他组织购买和部署的数以万计的此类设备中,只有相对较少的设备配置为无法使用。从攻击者的角度来看,许多都已妥善保护并离线。间接影响TP-240反射/放大攻击的间接影响对于将MitelMiCollab和MiVoiceBusinessExpress协作系统滥用为DDoS反射器/放大器的Internet公开组织而言可能非常重要。这可能包括通过这些系统的部分或全部语音通信中断,以及由于传输容量消耗、NAT状态表耗尽和状态防火墙等导致的额外服务中断。网络运营商对来自所有UDP/10074来源的流量进行批量过滤可能会阻止合法的Internet流量,因此是禁忌的。缓解措施TP-240反射/放大DDoS攻击源自UDP/10074,目标是攻击者选择的UDP端口。使用标准的DDoS防御工具和技术可以检测、分类、跟踪和安全地缓解这种放大的攻击流量。通过开源和商业分析系统进行流量监控和数据包捕获可以提醒网络运营商和最终客户注意TP-240反射/放大攻击。可以使用网络访问控制列表(ACL)、流量规范、基于目的地的远程触发黑洞(D/RTBH)、基于源的远程触发黑洞(S/RTBH)和智能DDoS缓解系统来缓解这些攻击。网络运营商应进行监控,以识别并促进修复其网络或客户网络上可滥用的TP-240反射器/放大器。MitelMiCollab和MiVoiceBusinessExpress协作系统的运营商应主动联系Mitel以获得供应商的特定维修订单。拥有面向公众的关键业务Internet资产的组织应确保已实施所有相关的网络基础设施、架构和操作最佳当前实践(BCP),包括仅允许通过所需IP协议和端口访问策略的Internet流量的网络特定场景.内部组织人员的Internet访问网络流量应与面向公众的Internet流量隔离,并通过单独的上游Internet传输链路提供服务。所有面向公众的互联网资产和支持基础设施的DDoS防御都应以实践为基础,包括定期测试以确保对组织的服务器/服务/应用程序的任何更改都纳入其DDoS防御计划。运营面向公众的关键任务互联网资产或基础设施的组织必须确保所有服务器/服务/应用程序/数据存储/基础设施元素免受DDoS攻击。该计划必须包括关键的辅助支持服务。为防止攻击者发起反射/放大DDoS攻击,网络运营商需要对入站和出站源地址进行验证。基于TP-240的MitelMiCollab和MiVoiceBusinessExpress协作系统的运营商可以通过访问控制列表(ACL)、防火墙规则和其他标准网络访问控制策略实施机制阻止以UDP/10074为目标的互联网流量,这可以防止系统被被滥用来发起DDoS攻击。敏迪已提供补丁软件版本,以防止安装了TP-240的MiCollab和MiVoiceBusinessExpress协作系统被滥用为DDoS反射器/放大器,从而防止服务暴露在互联网上。Mitel客户应联系供应商以获取维修说明。对可滥用TP-240反射器/放大器的间接影响可能会提醒网络运营商或最终客户将受影响的系统从非军事区(DMZ)网络或互联网数据中心(IDC)中移除,或禁用相关的UDP端口转发规则允许特定的UDP/10074流量来自公共互联网访问这些设备,防止它们被滥用以发起反射/放大DDoS攻击。放大的攻击流量没有碎片,因此没有由非初始碎片组成的额外攻击组件,许多其他UDP反射/放大DDoS向量就是这种情况。入口和出口源地址验证(SAV;也称为反欺骗)的实施可防止攻击者发起反射/放大DDoS攻击。总结许多不应暴露在公共互联网上的可滥用服务被攻击者利用,供应商可以通过在发货前在设备上实施“默认安全”设置来防止这种情况发生。如果所有网络运营商都实施入口和出口源地址验证(SAV,也称为反欺骗),则无法发起反射/放大DDoS攻击。发起此类攻击需要能够欺骗预期目标的IP地址。服务提供商必须继续在自己的网络中实施SAV,并要求其下游客户也这样做。在攻击者使用自定义DDoS攻击基础设施的初始阶段之后,TP-240反射/放大似乎已被武器化并添加到所谓的“启动器/压力器”DDoS租用服务中,使它们受到普通攻击者的摆布范围。本文翻译自:https://blog.cloudflare.com/cve-2022-26143/如有转载请注明出处。
