黑客利用商业电话系统漏洞发起 DDoS入侵
发布时间:2022-06-21 16:33:18 所属栏目:安全 来源:互联网
导读:从上月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。 这些系统中大约有 2600 个配置不正确,因此未经身份验证的系统测试设施无意中暴露在公共 I
|
从上月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。 这些系统中大约有 2600 个配置不正确,因此未经身份验证的系统测试设施无意中暴露在公共 Internet 中,从而使攻击者可以利用这些 PBX VoIP 网关作为 DDoS 反射器/放大器。 这种特殊的攻击向量与大多数 UDP 反射/放大攻击方法的不同之处在于,暴露的系统测试设施可被滥用,通过单一欺骗性攻击启动数据包发起长达 14 小时的持续 DDoS 攻击,从而产生的放大比为4294967296:1。对此 DDoS 攻击向量的受控测试产生了超过 400 Mmpps 的持续 DDoS 攻击流量。 需要注意的是,这种单包攻击发起能力具有阻止网络运营商追溯被欺骗的攻击发起者流量的效果。这有助于掩盖攻击流量生成基础设施,与其他 UDP 反射/放大 DDoS 攻击向量相比,攻击来源被追踪的可能性更低。 滥用 tp240dvr 驱动程序 受影响的 Mitel 系统上的滥用服务称为 tp240dvr(“TP-240 驱动程序”),它看起来像是一个软件桥,以促进与 TDM/VoIP PCI 接口卡的交互。该服务侦听 UDP/10074 上的命令,并不意味着暴露给互联网,正如这些设备的制造商所确认的那样。正是这种对互联网的暴露最终使它被滥用。 计算潜在的攻击影响 如上所述,通过这种可滥用的测试工具进行放大与使用大多数其他 UDP 反射/放大 DDoS 向量实现的方式大不相同。通常,反射/放大攻击要求攻击者持续向可滥用节点传输恶意有效载荷,只要他们希望攻击受害者。在 TP-240 反射/放大的情况下,这种持续传输并不是发起具有巨大影响 DDoS 攻击的必要条件。 相反,利用 TP-240 反射/放大的攻击者可以使用单个数据包发起高影响 DDoS 攻击。对 tp240dvr 二进制文件的检测表明,由于其设计,攻击者理论上可以使服务对单个恶意命令发出 2147483647 个响应。每个响应在网络上生成两个数据包,导致大约 4294967294 个放大的攻击数据包被定向到攻击目标。 对于命令的每个响应,第一个数据包包含一个计数器,该计数器随着每个发送的响应而递增。随着计数器值的增加,第一个数据包的大小将从 36 字节增长到 45 字节。第二个数据包包含函数的诊断输出,可能会受到攻击者的影响。通过优化每个启动器数据包以最大化第二个数据包的大小,每个命令都将导致最大长度为 1184 字节的放大数据包。 最大攻击量 tp240dvr 服务使用单线程处理命令,这意味着它们一次只能处理一个命令,因此每次只能用于发起一种攻击。在上述示例场景中, 14 小时内,它不能被用来攻击任何其他目标。尽管这一特性也导致合法用户无法使用 tp240dvr 服务,但这比让多个攻击者并行利用这些设备要好得多。 此外,就流量生成能力而言,这些设备似乎在相对低功耗的硬件上。在 100/Gbps 链接、数十个 CPU 内核和多线程功能已司空见惯的互联网环境中,庆幸的是,在能够单独生成数百万个数据的顶级硬件平台上找不到这种可滥用的服务每秒数据包,并以数千个并行线程运行。 最后,还有一个好消息是,在由全球政府、商业企业和其他组织购买和部署的数以万计的此类设备中,其中相对较少的设备的配置方式使它们无法使用。从攻击者的角度来看,许多都得到了适当的保护,并使其离线。 间接影响 TP-240 反射/放大攻击的间接影响对于拥有暴露于互联网的 Mitel MiCollab 和 MiVoice Business Express 协作系统被滥用为 DDoS 反射器/放大器的组织可能具有重大意义。 这可能包括通过这些系统的部分或全部语音通信中断,以及由于传输容量消耗、NAT 状态表耗尽和状态防火墙等导致的额外服务中断。 网络运营商批量过滤所有UDP/10074来源的流量可能会潜在地屏蔽合法的互联网流量,因此是禁忌的。 缓解措施 TP-240 反射/放大 DDoS 攻击源自 UDP/10074,并以攻击者选择的 UDP 端口为目标。可以使用标准 DDoS 防御工具和技术检测、分类、追踪和安全缓解这种放大的攻击流量。 通过开源和商业分析系统的流量监测和数据包捕获可以提醒网络运营商和最终客户 TP-240 反射/放大攻击。 拥有面向公众的关键业务互联网资产的组织应确保已实施所有相关的网络基础设施、架构和运营最佳当前实践 (BCP),包括仅允许通过所需 IP 协议和端口进行互联网流量的特定情况的网络访问策略。内部组织人员的互联网接入网络流量应与面向公众的互联网流量隔离,并通过单独的上游互联网中转链接提供服务。 所有面向公众的互联网资产和支持基础设施的 DDoS 防御应以实际情况为准,包括定期测试,以确保将组织服务器/服务/应用程序的任何更改纳入其 DDoS 防御计划。 运营面向公众的关键任务互联网资产或基础设施的组织必须确保所有服务器/服务/应用程序/数据存储/基础设施元素都受到保护,不受DDoS 攻击。此计划必须包括关键的辅助支持服务。 为了防止攻击者发起反射/放大DDoS攻击,网络运营商需要对进出源地址进行验证。 基于tp -240的Mitel MiCollab和MiVoice Business Express协同系统的运营商可以通过访问控制列表(acl)、防火墙规则和其他标准的网络访问控制策略实施机制,阻断以UDP/10074为目标的Internet流量,从而防止系统被滥用来发起DDoS攻击。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号