您当前的位置是:  首页 > 资讯 > 国际 >
 首页 > 资讯 > 国际 >

网络设备漏洞引发放大40亿倍的惊天DDoS攻击

2022-03-14 14:06:03   作者:   来源:CTI论坛   评论:0  点击:


  黑客开采加拿大电信业者Mitel的IP网络设备漏洞发动DDoS攻击,研究人员研判该漏洞能引发空前DDoS流量
  加拿大电信业者Mitel的MiCollab及MiVoice Business Express产品漏洞,遭黑客利用发动DDoS攻击,研究人员另外进行的实验显示,这项漏洞具有引发空前DDoS流量的潜力,理论上能让攻击者以1个封包引发42亿倍放大率的反射放大DDoS流量。研究人员也提醒Mitel MiCollab和MiVoice Business Express用户提高警觉,尽速请厂商修补漏洞。
  多家安全及网络厂商研究人员发现一款IP网络设备漏洞,理论上能让攻击者以1个封包引发42亿倍放大率的反射放大DDoS流量,而且已经有黑客实际开采向企业发动攻击。
  资安、网络服务、电信及设备业者包括Akamai、Cloudflare、Lumen Black Lotus Labs、Mitel、Netscour、Team Cymru、Telus和The Shadowserver基金会,他们在今年1月到2月初,观察到一波来自UDP传输埠10074的DDoS流量,攻击宽频ISP、金融机构、运筹及其他产业公司。
  分析显示是加拿大电信业者Mitel开发,主要用于在VoIP通讯传输中,扮演PBX系统和网际网络间闸道的MiCollab及MiVoice Business Express,遭黑客利用发动这波DDoS。近2600台这类系统因为在一次流量压力测试中,部署错误曝露于网际网络,一项漏洞被黑客开采后被当作攻击跳板。
  研究团队分析这是一波UDP反射/放大(reflection/amplification)DDoS攻击。根本原因是Mitel系统中,一项促进系统与TDM/VoIP PCI网卡间传输的服务tp240dvr遭到滥用。这项服务原本不应曝露于网际网络,但是它却在一次对客户的流量压力测试中,因一项「罕见的」指令而曝露于网际网络。本次压力测试发出的指令,能下达命令使tp240dvr服务(以及Mitel服务器)发送极大状态更新封包,因此攻击者可下达恶意指令,促使tp240dvr服务发送大量流量。本次Mitel MiCollab 及MiVoice Business Express服务器,即被用作DDoS攻击的放大器。
  研究人员另外进行的实验显示,这项漏洞具有引发空前DDoS流量的潜力。在此之前,此类攻击流量大约是53Mpps及23Gbps,平均封包大小将近60bytes,持续时间约5分钟。但最新发现的漏洞理论上,能让攻击者利用1个封包来引发破记录,最大4,294,967,296:1封包放大倍数,以80kpps传输率导向受害DDoS放大器,时间可长达14小时,封包最大可到1,184 bytes。
  而经过反射放大,导向受害目标的流量可达95.5GB,加上「诊断式输出」(diagnostic output)封包,最后抵达目标网络的流量放大比例,理论上可达到2,200,288,816:1,即22亿倍。研究团队最后实际产出了超过400Mpps的DDoS攻击流量。
  研究人员指出,只使用1个封包的攻击能力将使ISP无法追查出攻击来源,有助于隐藏产生流量的基础架构,也让研究人员更难发现它和其他UDP放射/放大DDoS的相似性。
  不过经过Mitel修补,其政府、商业及其他单位使用的数万台系统问题已经获得解决。此外,研究团队指出,这波反射/放大DDoS攻击可以标准的DDoS防御攻击和手法来侦测、分类、追查及缓解。利用开源或市售的流量测试及封包撷取工具,就能侦测并提早示警。而网络存取表或DDoS缓解系统服务则能缓解攻击。
  但研究人员仍提醒Mitel MiCollab和MiVoice Business Express用户应提高警觉,并尽速请厂商修补漏洞。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题

CTI论坛会员企业