黑客利用商业电话系统漏洞发起DDoS攻击

从上月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。

经进一步调查,被滥用发动这些攻击的设备是 Mitel 生产的 MiCollab 和 MiVoice Business Express 协作系统,其中包含 TP-240 VoIP 处理接口卡和支持软件;它们的主要功能是为 PBX 系统提供基于互联网的站点到站点语音连接。

这些系统中大约有 2600 个配置不正确,因此未经身份验证的系统测试设施无意中暴露在公共 Internet 中,从而使攻击者可以利用这些 PBX VoIP 网关作为 DDoS 反射器/放大器。

Mitel 意识到这些系统被滥用以促进高 pps(每秒数据包数)DDoS 攻击,并一直在积极与客户合作,通过修补软件来修复可滥用设备,这些软件会禁止公众访问系统测试设施。

接下来,研究人员将解释驱动程序是如何被滥用的,并分享推荐的缓解措施。这项研究是由 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、NETSCOUT ASERT、TELUS、Team Cymru 和 Shadowserver Foundation 的一组研究人员合作创建的。

野外 DDoS 攻击

虽然在 2022 年 1 月 8 日和 2 月 7 日观察到与易受攻击的服务相关的网络流量峰值,但研究人员认为第一次利用该漏洞的实际攻击始于 2 月 18 日。

观察到的攻击主要基于每秒数据包或流量,并且似乎是源自 UDP/10074 的 UDP 反射/放大攻击,主要针对目标端口 UDP/80 和 UDP/443。在此之前观察到的此类攻击中最大的一次攻击约为 53 Mpps 和 23 Gbps。该攻击的平均数据包大小约为 60 字节,攻击持续时间约为 5 分钟。放大后的攻击报文不分段。

这种特殊的攻击向量与大多数 UDP 反射/放大攻击方法的不同之处在于,暴露的系统测试设施可被滥用,通过单一欺骗性攻击启动数据包发起长达 14 小时的持续 DDoS 攻击,从而产生的放大比为4294967296:1。对此 DDoS 攻击向量的受控测试产生了超过 400 Mmpps 的持续 DDoS 攻击流量。

需要注意的是,这种单包攻击发起能力具有阻止网络运营商追溯被欺骗的攻击发起者流量的效果。这有助于掩盖攻击流量生成基础设施,与其他 UDP 反射/放大 DDoS 攻击向量相比,攻击来源被追踪的可能性更低。

滥用 tp240dvr 驱动程序

受影响的 Mitel 系统上的滥用服务称为 tp240dvr(“TP-240 驱动程序”),它看起来像是一个软件桥,以促进与 TDM/VoIP PCI 接口卡的交互。该服务侦听 UDP/10074 上的命令,并不意味着暴露给互联网,正如这些设备的制造商所确认的那样。正是这种对互联网的暴露最终使它被滥用。

tp240dvr 服务公开了一个不寻常的命令,该命令旨在对其客户端进行压力测试,以便于调试和性能测试。此命令可被滥用以导致 tp240dvr 服务发送此压力测试以攻击受害者。流量由高速率的简短信息状态更新数据包组成,这些数据包可能会使受害者不堪重负并导致 DDoS 发生。

攻击者也可以滥用此命令来发起非常高流量的攻击。攻击者可以使用自定义的命令使 tp240dvr 服务发送更大的信息状态更新数据包,从而显著提高放大率。

通过在实验室环境中广泛测试基于 TP-240 的隔离虚拟系统,研究人员能够使这些设备产生大量流量以响应相对较小的请求负载。研究人员将在以下部分中更深入地介绍这种攻击场景。

计算潜在的攻击影响

如上所述,通过这种可滥用的测试工具进行放大与使用大多数其他 UDP 反射/放大 DDoS 向量实现的方式大不相同。通常,反射/放大攻击要求攻击者持续向可滥用节点传输恶意有效载荷,只要他们希望攻击受害者。在 TP-240 反射/放大的情况下,这种持续传输并不是发起具有巨大影响 DDoS 攻击的必要条件。

相反,利用 TP-240 反射/放大的攻击者可以使用单个数据包发起高影响 DDoS 攻击。对 tp240dvr 二进制文件的检测表明,由于其设计,攻击者理论上可以使服务对单个恶意命令发出 2147483647 个响应。每个响应在网络上生成两个数据包,导致大约 4294967294 个放大的攻击数据包被定向到攻击目标。

对于命令的每个响应,第一个数据包包含一个计数器,该计数器随着每个发送的响应而递增。随着计数器值的增加,第一个数据包的大小将从 36 字节增长到 45 字节。第二个数据包包含函数的诊断输出,可能会受到攻击者的影响。通过优化每个启动器数据包以最大化第二个数据包的大小,每个命令都将导致最大长度为 1184 字节的放大数据包。

理论上,单个可滥用节点以 80kpps 的速率生成最大 4294967294 个数据包将导致大约 14 小时的攻击持续时间。在攻击过程中,仅“计数器”数据包就会产生大约 95.5GB 的放大攻击流量,发向目标网络。最大填充的“诊断输出”数据包将额外增加 2.5TB 的针对目标的攻击流量。

这将产生来自单个反射器/放大器的攻击流量接近 393mb/秒的持续泛滥,所有这些都是由长度仅为 1119 字节的单个欺骗攻击发起者数据包造成的。这导致了几乎无法想象的 2200288816:1 的放大率。

最大攻击量

tp240dvr 服务使用单线程处理命令,这意味着它们一次只能处理一个命令,因此每次只能用于发起一种攻击。在上述示例场景中, 14 小时内,它不能被用来攻击任何其他目标。尽管这一特性也导致合法用户无法使用 tp240dvr 服务,但这比让多个攻击者并行利用这些设备要好得多。

此外,就流量生成能力而言,这些设备似乎在相对低功耗的硬件上。在 100/Gbps 链接、数十个 CPU 内核和多线程功能已司空见惯的互联网环境中,庆幸的是,在能够单独生成数百万个数据的顶级硬件平台上找不到这种可滥用的服务每秒数据包,并以数千个并行线程运行。

最后,还有一个好消息是,在由全球政府、商业企业和其他组织购买和部署的数以万计的此类设备中,其中相对较少的设备的配置方式使它们无法使用。从攻击者的角度来看,许多都得到了适当的保护,并使其离线。

间接影响

TP-240 反射/放大攻击的间接影响对于拥有暴露于互联网的 Mitel MiCollab 和 MiVoice Business Express 协作系统被滥用为 DDoS 反射器/放大器的组织可能具有重大意义。

这可能包括通过这些系统的部分或全部语音通信中断,以及由于传输容量消耗、NAT 状态表耗尽和状态防火墙等导致的额外服务中断。

网络运营商批量过滤所有UDP/10074来源的流量可能会潜在地屏蔽合法的互联网流量,因此是禁忌的。

缓解措施

TP-240 反射/放大 DDoS 攻击源自 UDP/10074,并以攻击者选择的 UDP 端口为目标。可以使用标准 DDoS 防御工具和技术检测、分类、追踪和安全缓解这种放大的攻击流量。

通过开源和商业分析系统的流量监测和数据包捕获可以提醒网络运营商和最终客户 TP-240 反射/放大攻击。

可以使用网络访问控制列表 (ACL)、流规范、基于目标的远程触发黑洞 (D/RTBH)、基于源的远程触发黑洞 (S/RTBH) 和智能 DDoS 缓解系统缓解这些攻击。

网络运营商应进行监测,以识别并促进对其网络或客户网络上可滥用的 TP-240 反射器/放大器的修复。Mitel MiCollab 和 MiVoice Business Express 协作系统的运营商应主动联系 Mitel,以便从供应商处获得具体的修复命令。

拥有面向公众的关键业务互联网资产的组织应确保已实施所有相关的网络基础设施、架构和运营最佳当前实践 (BCP),包括仅允许通过所需 IP 协议和端口进行互联网流量的特定情况的网络访问策略。内部组织人员的互联网接入网络流量应与面向公众的互联网流量隔离,并通过单独的上游互联网中转链接提供服务。

所有面向公众的互联网资产和支持基础设施的 DDoS 防御应以实际情况为准,包括定期测试,以确保将组织服务器/服务/应用程序的任何更改纳入其 DDoS 防御计划。

运营面向公众的关键任务互联网资产或基础设施的组织必须确保所有服务器/服务/应用程序/数据存储/基础设施元素都受到保护,不受DDoS 攻击。此计划必须包括关键的辅助支持服务。

为了防止攻击者发起反射/放大DDoS攻击,网络运营商需要对进出源地址进行验证。

基于tp -240的Mitel MiCollab和MiVoice Business Express协同系统的运营商可以通过访问控制列表(acl)、防火墙规则和其他标准的网络访问控制策略实施机制,阻断以UDP/10074为目标的Internet流量,从而防止系统被滥用来发起DDoS攻击。

Mitel已经提供了补丁软件版本,防止安装了tp -240的MiCollab和MiVoice Business Express协作系统被滥用为DDoS反射器/放大器,防止该服务暴露在互联网上。Mitel客户应联系供应商获取修复指示。

对可滥用的 TP-240 反射器/放大器的间接影响可以提醒网络运营商或最终客户从“非军事区”(DMZ)网络或互联网数据中心(IDC)中删除受影响的系统,或禁用相关的 UDP 端口转发规则允许来自公共互联网的特定 UDP/10074 流量到达这些设备,从而防止它们被滥用以发起反射/放大 DDoS 攻击。

放大的攻击流量不存在碎片化,因此也就不存在由非初始碎片组成的额外攻击组件,就像许多其他 UDP 反射/放大 DDoS 向量的情况一样。

入口和出口源地址验证的实现(SAV;也称为anti-spoofing)可以防止攻击者发起反射/放大DDoS攻击。

总结

许多不应该暴露在公共互联网上的可滥用服务却被攻击者利用,供应商可以通过在发货前在设备上采用“默认安全”的设置来防止这种情况。

如果所有网络运营商都实施了入口和出口源地址验证(SAV,也称为反欺骗),则无法发起反射/放大 DDoS 攻击。发起此类攻击需要能够欺骗预期攻击目标的 IP 地址。服务提供商必须继续在自己的网络中实施 SAV,并要求其下游客户这样做。

在攻击者使用自定义 DDoS 攻击基础设施的初始阶段之后,TP-240 反射/放大似乎已被武器化并添加到所谓的“ booter/stresser” DDoS-for-hire 服务,将其置于一般攻击者的范围内。

参考及来源:嘶吼专业版https://blog.cloudflare.com/cve-2022-26143/

前一篇美国参议院报告:美政府缺乏关于勒索软件的全面数据
后一篇RSAC 2022最热门的十家网络安全创业公司