QQ图片20220310110350

黑客滥用 Mitel 设备将 DDoS 攻击放大40亿倍

  • 浏览次数 32607
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

 Amplify DDoS Attacks

研究员发现,黑客滥用高影响反射/放大方法,实施长达14小时的持续分布式拒绝服务攻击,放大率达到了破纪录的4294967296倍。

这种攻击载体被称为 TP240PhoneHome (CVE-2022-26143) ,已经被武器化,可以针对宽带接入服务提供商、金融机构、物流公司、游戏公司和其他组织发起严重的 DDoS 攻击。

Akamai 研究员 Chad Seaman 在一份联合报告: “大约有2600个 Mitel MiCollab 和 MiVoice Business Express 协作系统作为 PBX联网的网关被错误地部署,一个频繁使用的系统测试设施暴露在一个公共互联网上。”

“攻击者主动利用这些系统发起每秒5300多万个数据包的反射/放大 DDoS 攻击(PPS)。”

DDoS 反射攻击通常包括假冒受害者的 IP 地址,以重定向来自目标服务器(比如 DNS、 NTP 或 CLDAP 服务器)的响应,这种方式使得发送给假冒的发送者的答复远大于请求,导致服务完全无法访问。

攻击的第一个迹象据说是在2022年2月18日被发现的,黑客使用 Mitel 的 MiCollab 和 MiVoice 商业快递协作系统作为 DDoS 反射器,多亏一个未经认证的测试设施无意中暴露在公共互联网上,这才有了线索。

“这个特定的攻击载体不同于大多数 UDP 反射/放大攻击方法,因为暴露的系统测试设施可以被滥用,通过一个单独的仿冒攻击发起包,发动持续时间长达14小时的 DDoS 攻击,导致数据包放大比为惊人的4,294,967,296比1。”

具体来说,这些攻击将一个名为 tp240dvr (“ TP-240驱动程序”)的驱动程序武器化,这个驱动程序被设计用来监听 UDP 端口10074上的命令,“它并不打算暴露在互联网上,”Akamai 解释说,并补充道,“但正是其在互联网的暴露最终导致了它被滥用。”

“对 tp240dvr 二进制文件的检查表明,由于其设计,攻击者理论上可以使该服务对单个恶意命令发出2,147,483,647个响应。每个响应在线路上产生两个数据包,导致大约4,294,967,294个放大的攻击数据包指向受害者。”

作为对这一发现的回应,Mitel在周二发布了软件更新,禁止公开访问测试功能,同时将这一问题描述为访问控制漏洞,黑客可以利用该漏洞获取敏感信息。

该公司表示: “ 对于那些使用被滥用为 DDoS 反射器/放大器的 Mitel MiCollab 和 MiVoice Business Express 协作系统的组织来说,tp-240反射/放大攻击的附带影响要引起重视。”

“影响可能包括部分或全部这些系统中的语音通信中断,以及由于传输能力消耗、网络地址转换的状态表耗尽、状态防火墙等原因造成的额外服务中断。”

 

 

消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文