您當(dāng)前的位置是:  首頁(yè) > 資訊 > 國(guó)際 >
 首頁(yè) > 資訊 > 國(guó)際 >

網(wǎng)絡(luò)設(shè)備漏洞引發(fā)放大40億倍的驚天DDoS攻擊

2022-03-14 14:06:03   作者:   來(lái)源:CTI論壇   評(píng)論:0  點(diǎn)擊:

  黑客開(kāi)采加拿大電信業(yè)者M(jìn)itel的IP網(wǎng)絡(luò)設(shè)備漏洞發(fā)動(dòng)DDoS攻擊,研究人員研判該漏洞能引發(fā)空前DDoS流量
  加拿大電信業(yè)者M(jìn)itel的MiCollab及MiVoice Business Express產(chǎn)品漏洞,遭黑客利用發(fā)動(dòng)DDoS攻擊,研究人員另外進(jìn)行的實(shí)驗(yàn)顯示,這項(xiàng)漏洞具有引發(fā)空前DDoS流量的潛力,理論上能讓攻擊者以1個(gè)封包引發(fā)42億倍放大率的反射放大DDoS流量。研究人員也提醒Mitel MiCollab和MiVoice Business Express用戶提高警覺(jué),盡速請(qǐng)廠商修補(bǔ)漏洞。
  多家安全及網(wǎng)絡(luò)廠商研究人員發(fā)現(xiàn)一款I(lǐng)P網(wǎng)絡(luò)設(shè)備漏洞,理論上能讓攻擊者以1個(gè)封包引發(fā)42億倍放大率的反射放大DDoS流量,而且已經(jīng)有黑客實(shí)際開(kāi)采向企業(yè)發(fā)動(dòng)攻擊。
  資安、網(wǎng)絡(luò)服務(wù)、電信及設(shè)備業(yè)者包括Akamai、Cloudflare、Lumen Black Lotus Labs、Mitel、Netscour、Team Cymru、Telus和The Shadowserver基金會(huì),他們?cè)诮衲?月到2月初,觀察到一波來(lái)自UDP傳輸埠10074的DDoS流量,攻擊寬頻ISP、金融機(jī)構(gòu)、運(yùn)籌及其他產(chǎn)業(yè)公司。
  分析顯示是加拿大電信業(yè)者M(jìn)itel開(kāi)發(fā),主要用于在VoIP通訊傳輸中,扮演PBX系統(tǒng)和網(wǎng)際網(wǎng)絡(luò)間閘道的MiCollab及MiVoice Business Express,遭黑客利用發(fā)動(dòng)這波DDoS。近2600臺(tái)這類(lèi)系統(tǒng)因?yàn)樵谝淮瘟髁繅毫y(cè)試中,部署錯(cuò)誤曝露于網(wǎng)際網(wǎng)絡(luò),一項(xiàng)漏洞被黑客開(kāi)采后被當(dāng)作攻擊跳板。
  研究團(tuán)隊(duì)分析這是一波UDP反射/放大(reflection/amplification)DDoS攻擊。根本原因是Mitel系統(tǒng)中,一項(xiàng)促進(jìn)系統(tǒng)與TDM/VoIP PCI網(wǎng)卡間傳輸?shù)姆⻊?wù)tp240dvr遭到濫用。這項(xiàng)服務(wù)原本不應(yīng)曝露于網(wǎng)際網(wǎng)絡(luò),但是它卻在一次對(duì)客戶的流量壓力測(cè)試中,因一項(xiàng)「罕見(jiàn)的」指令而曝露于網(wǎng)際網(wǎng)絡(luò)。本次壓力測(cè)試發(fā)出的指令,能下達(dá)命令使tp240dvr服務(wù)(以及Mitel服務(wù)器)發(fā)送極大狀態(tài)更新封包,因此攻擊者可下達(dá)惡意指令,促使tp240dvr服務(wù)發(fā)送大量流量。本次Mitel MiCollab 及MiVoice Business Express服務(wù)器,即被用作DDoS攻擊的放大器。
  研究人員另外進(jìn)行的實(shí)驗(yàn)顯示,這項(xiàng)漏洞具有引發(fā)空前DDoS流量的潛力。在此之前,此類(lèi)攻擊流量大約是53Mpps及23Gbps,平均封包大小將近60bytes,持續(xù)時(shí)間約5分鐘。但最新發(fā)現(xiàn)的漏洞理論上,能讓攻擊者利用1個(gè)封包來(lái)引發(fā)破記錄,最大4,294,967,296:1封包放大倍數(shù),以80kpps傳輸率導(dǎo)向受害DDoS放大器,時(shí)間可長(zhǎng)達(dá)14小時(shí),封包最大可到1,184 bytes。
  而經(jīng)過(guò)反射放大,導(dǎo)向受害目標(biāo)的流量可達(dá)95.5GB,加上「診斷式輸出」(diagnostic output)封包,最后抵達(dá)目標(biāo)網(wǎng)絡(luò)的流量放大比例,理論上可達(dá)到2,200,288,816:1,即22億倍。研究團(tuán)隊(duì)最后實(shí)際產(chǎn)出了超過(guò)400Mpps的DDoS攻擊流量。
  研究人員指出,只使用1個(gè)封包的攻擊能力將使ISP無(wú)法追查出攻擊來(lái)源,有助于隱藏產(chǎn)生流量的基礎(chǔ)架構(gòu),也讓研究人員更難發(fā)現(xiàn)它和其他UDP放射/放大DDoS的相似性。
  不過(guò)經(jīng)過(guò)Mitel修補(bǔ),其政府、商業(yè)及其他單位使用的數(shù)萬(wàn)臺(tái)系統(tǒng)問(wèn)題已經(jīng)獲得解決。此外,研究團(tuán)隊(duì)指出,這波反射/放大DDoS攻擊可以標(biāo)準(zhǔn)的DDoS防御攻擊和手法來(lái)偵測(cè)、分類(lèi)、追查及緩解。利用開(kāi)源或市售的流量測(cè)試及封包擷取工具,就能偵測(cè)并提早示警。而網(wǎng)絡(luò)存取表或DDoS緩解系統(tǒng)服務(wù)則能緩解攻擊。
  但研究人員仍提醒Mitel MiCollab和MiVoice Business Express用戶應(yīng)提高警覺(jué),并盡速請(qǐng)廠商修補(bǔ)漏洞。
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無(wú)關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專(zhuān)題

CTI論壇會(huì)員企業(yè)