從上月中旬開(kāi)始，安全研究人員、網(wǎng)絡(luò)運(yùn)營(yíng)商和安全供應(yīng)商發(fā)現(xiàn)來(lái)自 UDP 端口 10074 的 DDoS 攻擊激增，目標(biāo)是寬帶接入 ISP、金融機(jī)構(gòu)、物流公司和其他垂直市場(chǎng)的組織。

經(jīng)進(jìn)一步調(diào)查，被濫用發(fā)動(dòng)這些攻擊的設(shè)備是 Mitel 生產(chǎn)的 MiCollab 和 MiVoice Business Express 協(xié)作系統(tǒng)，其中包含 TP-240 VoIP 處理接口卡和支持軟件；它們的主要功能是為 PBX 系統(tǒng)提供基于互聯(lián)網(wǎng)的站點(diǎn)到站點(diǎn)語(yǔ)音連接。

這些系統(tǒng)中大約有 2600 個(gè)配置不正確，因此未經(jīng)身份驗(yàn)證的系統(tǒng)測(cè)試設(shè)施無(wú)意中暴露在公共 Internet 中，從而使攻擊者可以利用這些 PBX VoIP 網(wǎng)關(guān)作為 DDoS 反射器/放大器。

Mitel 意識(shí)到這些系統(tǒng)被濫用以促進(jìn)高 pps（每秒數(shù)據(jù)包數(shù)）DDoS 攻擊，并一直在積極與客戶合作，通過(guò)修補(bǔ)軟件來(lái)修復(fù)可濫用設(shè)備，這些軟件會(huì)禁止公眾訪問(wèn)系統(tǒng)測(cè)試設(shè)施。

接下來(lái)，研究人員將解釋驅(qū)動(dòng)程序是如何被濫用的，并分享推薦的緩解措施。這項(xiàng)研究是由 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、NETSCOUT ASERT、TELUS、Team Cymru 和 Shadowserver Foundation 的一組研究人員合作創(chuàng)建的。

野外 DDoS 攻擊

雖然在 2022 年 1 月 8 日和 2 月 7 日觀察到與易受攻擊的服務(wù)相關(guān)的網(wǎng)絡(luò)流量峰值，但研究人員認(rèn)為第一次利用該漏洞的實(shí)際攻擊始于 2 月 18 日。

觀察到的攻擊主要基于每秒數(shù)據(jù)包或流量，并且似乎是源自 UDP/10074 的 UDP 反射/放大攻擊，主要針對(duì)目標(biāo)端口 UDP/80 和 UDP/443。在此之前觀察到的此類攻擊中最大的一次攻擊約為 53 Mpps 和 23 Gbps。該攻擊的平均數(shù)據(jù)包大小約為 60 字節(jié)，攻擊持續(xù)時(shí)間約為 5 分鐘。放大后的攻擊報(bào)文不分段。

這種特殊的攻擊向量與大多數(shù) UDP 反射/放大攻擊方法的不同之處在于，暴露的系統(tǒng)測(cè)試設(shè)施可被濫用，通過(guò)單一欺騙性攻擊啟動(dòng)數(shù)據(jù)包發(fā)起長(zhǎng)達(dá) 14 小時(shí)的持續(xù) DDoS 攻擊，從而產(chǎn)生的放大比為4294967296:1。對(duì)此 DDoS 攻擊向量的受控測(cè)試產(chǎn)生了超過(guò) 400 Mmpps 的持續(xù) DDoS 攻擊流量。

需要注意的是，這種單包攻擊發(fā)起能力具有阻止網(wǎng)絡(luò)運(yùn)營(yíng)商追溯被欺騙的攻擊發(fā)起者流量的效果。這有助于掩蓋攻擊流量生成基礎(chǔ)設(shè)施，與其他 UDP 反射/放大 DDoS 攻擊向量相比，攻擊來(lái)源被追蹤的可能性更低。

濫用 tp240dvr 驅(qū)動(dòng)程序

受影響的 Mitel 系統(tǒng)上的濫用服務(wù)稱為 tp240dvr（“TP-240 驅(qū)動(dòng)程序”），它看起來(lái)像是一個(gè)軟件橋，以促進(jìn)與 TDM/VoIP PCI 接口卡的交互。該服務(wù)偵聽(tīng) UDP/10074 上的命令，并不意味著暴露給互聯(lián)網(wǎng)，正如這些設(shè)備的制造商所確認(rèn)的那樣。正是這種對(duì)互聯(lián)網(wǎng)的暴露最終使它被濫用。

tp240dvr 服務(wù)公開(kāi)了一個(gè)不尋常的命令，該命令旨在對(duì)其客戶端進(jìn)行壓力測(cè)試，以便于調(diào)試和性能測(cè)試。此命令可被濫用以導(dǎo)致 tp240dvr 服務(wù)發(fā)送此壓力測(cè)試以攻擊受害者。流量由高速率的簡(jiǎn)短信息狀態(tài)更新數(shù)據(jù)包組成，這些數(shù)據(jù)包可能會(huì)使受害者不堪重負(fù)并導(dǎo)致 DDoS 發(fā)生。

攻擊者也可以濫用此命令來(lái)發(fā)起非常高流量的攻擊。攻擊者可以使用自定義的命令使 tp240dvr 服務(wù)發(fā)送更大的信息狀態(tài)更新數(shù)據(jù)包，從而顯著提高放大率。

通過(guò)在實(shí)驗(yàn)室環(huán)境中廣泛測(cè)試基于 TP-240 的隔離虛擬系統(tǒng)，研究人員能夠使這些設(shè)備產(chǎn)生大量流量以響應(yīng)相對(duì)較小的請(qǐng)求負(fù)載。研究人員將在以下部分中更深入地介紹這種攻擊場(chǎng)景。

計(jì)算潛在的攻擊影響

如上所述，通過(guò)這種可濫用的測(cè)試工具進(jìn)行放大與使用大多數(shù)其他 UDP 反射/放大 DDoS 向量實(shí)現(xiàn)的方式大不相同。通常，反射/放大攻擊要求攻擊者持續(xù)向可濫用節(jié)點(diǎn)傳輸惡意有效載荷，只要他們希望攻擊受害者。在 TP-240 反射/放大的情況下，這種持續(xù)傳輸并不是發(fā)起具有巨大影響 DDoS 攻擊的必要條件。

相反，利用 TP-240 反射/放大的攻擊者可以使用單個(gè)數(shù)據(jù)包發(fā)起高影響 DDoS 攻擊。對(duì) tp240dvr 二進(jìn)制文件的檢測(cè)表明，由于其設(shè)計(jì)，攻擊者理論上可以使服務(wù)對(duì)單個(gè)惡意命令發(fā)出 2147483647 個(gè)響應(yīng)。每個(gè)響應(yīng)在網(wǎng)絡(luò)上生成兩個(gè)數(shù)據(jù)包，導(dǎo)致大約 4294967294 個(gè)放大的攻擊數(shù)據(jù)包被定向到攻擊目標(biāo)。

對(duì)于命令的每個(gè)響應(yīng)，第一個(gè)數(shù)據(jù)包包含一個(gè)計(jì)數(shù)器，該計(jì)數(shù)器隨著每個(gè)發(fā)送的響應(yīng)而遞增。隨著計(jì)數(shù)器值的增加，第一個(gè)數(shù)據(jù)包的大小將從 36 字節(jié)增長(zhǎng)到 45 字節(jié)。第二個(gè)數(shù)據(jù)包包含函數(shù)的診斷輸出，可能會(huì)受到攻擊者的影響。通過(guò)優(yōu)化每個(gè)啟動(dòng)器數(shù)據(jù)包以最大化第二個(gè)數(shù)據(jù)包的大小，每個(gè)命令都將導(dǎo)致最大長(zhǎng)度為 1184 字節(jié)的放大數(shù)據(jù)包。

理論上，單個(gè)可濫用節(jié)點(diǎn)以 80kpps 的速率生成最大 4294967294 個(gè)數(shù)據(jù)包將導(dǎo)致大約 14 小時(shí)的攻擊持續(xù)時(shí)間。在攻擊過(guò)程中，僅“計(jì)數(shù)器”數(shù)據(jù)包就會(huì)產(chǎn)生大約 95.5GB 的放大攻擊流量，發(fā)向目標(biāo)網(wǎng)絡(luò)。最大填充的“診斷輸出”數(shù)據(jù)包將額外增加 2.5TB 的針對(duì)目標(biāo)的攻擊流量。

這將產(chǎn)生來(lái)自單個(gè)反射器/放大器的攻擊流量接近 393mb/秒的持續(xù)泛濫，所有這些都是由長(zhǎng)度僅為 1119 字節(jié)的單個(gè)欺騙攻擊發(fā)起者數(shù)據(jù)包造成的。這導(dǎo)致了幾乎無(wú)法想象的 2200288816:1 的放大率。

最大攻擊量

tp240dvr 服務(wù)使用單線程處理命令，這意味著它們一次只能處理一個(gè)命令，因此每次只能用于發(fā)起一種攻擊。在上述示例場(chǎng)景中， 14 小時(shí)內(nèi)，它不能被用來(lái)攻擊任何其他目標(biāo)。盡管這一特性也導(dǎo)致合法用戶無(wú)法使用 tp240dvr 服務(wù)，但這比讓多個(gè)攻擊者并行利用這些設(shè)備要好得多。

此外，就流量生成能力而言，這些設(shè)備似乎在相對(duì)低功耗的硬件上。在 100/Gbps 鏈接、數(shù)十個(gè) CPU 內(nèi)核和多線程功能已司空見(jiàn)慣的互聯(lián)網(wǎng)環(huán)境中，慶幸的是，在能夠單獨(dú)生成數(shù)百萬(wàn)個(gè)數(shù)據(jù)的頂級(jí)硬件平臺(tái)上找不到這種可濫用的服務(wù)每秒數(shù)據(jù)包，并以數(shù)千個(gè)并行線程運(yùn)行。

最后，還有一個(gè)好消息是，在由全球政府、商業(yè)企業(yè)和其他組織購(gòu)買(mǎi)和部署的數(shù)以萬(wàn)計(jì)的此類設(shè)備中，其中相對(duì)較少的設(shè)備的配置方式使它們無(wú)法使用。從攻擊者的角度來(lái)看，許多都得到了適當(dāng)?shù)谋Ｗo(hù)，并使其離線。

間接影響

TP-240 反射/放大攻擊的間接影響對(duì)于擁有暴露于互聯(lián)網(wǎng)的 Mitel MiCollab 和 MiVoice Business Express 協(xié)作系統(tǒng)被濫用為 DDoS 反射器/放大器的組織可能具有重大意義。

這可能包括通過(guò)這些系統(tǒng)的部分或全部語(yǔ)音通信中斷，以及由于傳輸容量消耗、NAT 狀態(tài)表耗盡和狀態(tài)防火墻等導(dǎo)致的額外服務(wù)中斷。

網(wǎng)絡(luò)運(yùn)營(yíng)商批量過(guò)濾所有UDP/10074來(lái)源的流量可能會(huì)潛在地屏蔽合法的互聯(lián)網(wǎng)流量，因此是禁忌的。

緩解措施

TP-240 反射/放大 DDoS 攻擊源自 UDP/10074，并以攻擊者選擇的 UDP 端口為目標(biāo)。可以使用標(biāo)準(zhǔn) DDoS 防御工具和技術(shù)檢測(cè)、分類、追蹤和安全緩解這種放大的攻擊流量。

通過(guò)開(kāi)源和商業(yè)分析系統(tǒng)的流量監(jiān)測(cè)和數(shù)據(jù)包捕獲可以提醒網(wǎng)絡(luò)運(yùn)營(yíng)商和最終客戶 TP-240 反射/放大攻擊。

可以使用網(wǎng)絡(luò)訪問(wèn)控制列表 (ACL)、流規(guī)范、基于目標(biāo)的遠(yuǎn)程觸發(fā)黑洞 (D/RTBH)、基于源的遠(yuǎn)程觸發(fā)黑洞 (S/RTBH) 和智能 DDoS 緩解系統(tǒng)緩解這些攻擊。

網(wǎng)絡(luò)運(yùn)營(yíng)商應(yīng)進(jìn)行監(jiān)測(cè)，以識(shí)別并促進(jìn)對(duì)其網(wǎng)絡(luò)或客戶網(wǎng)絡(luò)上可濫用的 TP-240 反射器/放大器的修復(fù)。 Mitel MiCollab 和 MiVoice Business Express 協(xié)作系統(tǒng)的運(yùn)營(yíng)商應(yīng)主動(dòng)聯(lián)系 Mitel，以便從供應(yīng)商處獲得具體的修復(fù)命令。

擁有面向公眾的關(guān)鍵業(yè)務(wù)互聯(lián)網(wǎng)資產(chǎn)的組織應(yīng)確保已實(shí)施所有相關(guān)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、架構(gòu)和運(yùn)營(yíng)最佳當(dāng)前實(shí)踐 (BCP)，包括僅允許通過(guò)所需 IP 協(xié)議和端口進(jìn)行互聯(lián)網(wǎng)流量的特定情況的網(wǎng)絡(luò)訪問(wèn)策略。內(nèi)部組織人員的互聯(lián)網(wǎng)接入網(wǎng)絡(luò)流量應(yīng)與面向公眾的互聯(lián)網(wǎng)流量隔離，并通過(guò)單獨(dú)的上游互聯(lián)網(wǎng)中轉(zhuǎn)鏈接提供服務(wù)。

所有面向公眾的互聯(lián)網(wǎng)資產(chǎn)和支持基礎(chǔ)設(shè)施的 DDoS 防御應(yīng)以實(shí)際情況為準(zhǔn)，包括定期測(cè)試，以確保將組織服務(wù)器/服務(wù)/應(yīng)用程序的任何更改納入其 DDoS 防御計(jì)劃。

運(yùn)營(yíng)面向公眾的關(guān)鍵任務(wù)互聯(lián)網(wǎng)資產(chǎn)或基礎(chǔ)設(shè)施的組織必須確保所有服務(wù)器/服務(wù)/應(yīng)用程序/數(shù)據(jù)存儲(chǔ)/基礎(chǔ)設(shè)施元素都受到保護(hù)，不受DDoS 攻擊。此計(jì)劃必須包括關(guān)鍵的輔助支持服務(wù)。

為了防止攻擊者發(fā)起反射/放大DDoS攻擊，網(wǎng)絡(luò)運(yùn)營(yíng)商需要對(duì)進(jìn)出源地址進(jìn)行驗(yàn)證。

基于tp -240的Mitel MiCollab和MiVoice Business Express協(xié)同系統(tǒng)的運(yùn)營(yíng)商可以通過(guò)訪問(wèn)控制列表(acl)、防火墻規(guī)則和其他標(biāo)準(zhǔn)的網(wǎng)絡(luò)訪問(wèn)控制策略實(shí)施機(jī)制，阻斷以UDP/10074為目標(biāo)的Internet流量，從而防止系統(tǒng)被濫用來(lái)發(fā)起DDoS攻擊。

Mitel已經(jīng)提供了補(bǔ)丁軟件版本，防止安裝了tp -240的MiCollab和MiVoice Business Express協(xié)作系統(tǒng)被濫用為DDoS反射器/放大器，防止該服務(wù)暴露在互聯(lián)網(wǎng)上。Mitel客戶應(yīng)聯(lián)系供應(yīng)商獲取修復(fù)指示。

對(duì)可濫用的 TP-240 反射器/放大器的間接影響可以提醒網(wǎng)絡(luò)運(yùn)營(yíng)商或最終客戶從“非軍事區(qū)”（DMZ）網(wǎng)絡(luò)或互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）中刪除受影響的系統(tǒng)，或禁用相關(guān)的 UDP 端口轉(zhuǎn)發(fā)規(guī)則允許來(lái)自公共互聯(lián)網(wǎng)的特定 UDP/10074 流量到達(dá)這些設(shè)備，從而防止它們被濫用以發(fā)起反射/放大 DDoS 攻擊。

放大的攻擊流量不存在碎片化，因此也就不存在由非初始碎片組成的額外攻擊組件，就像許多其他 UDP 反射/放大 DDoS 向量的情況一樣。

入口和出口源地址驗(yàn)證的實(shí)現(xiàn)(SAV;也稱為anti-spoofing)可以防止攻擊者發(fā)起反射/放大DDoS攻擊。

總結(jié)

許多不應(yīng)該暴露在公共互聯(lián)網(wǎng)上的可濫用服務(wù)卻被攻擊者利用，供應(yīng)商可以通過(guò)在發(fā)貨前在設(shè)備上采用“默認(rèn)安全”的設(shè)置來(lái)防止這種情況。

如果所有網(wǎng)絡(luò)運(yùn)營(yíng)商都實(shí)施了入口和出口源地址驗(yàn)證（SAV，也稱為反欺騙），則無(wú)法發(fā)起反射/放大 DDoS 攻擊。發(fā)起此類攻擊需要能夠欺騙預(yù)期攻擊目標(biāo)的 IP 地址。服務(wù)提供商必須繼續(xù)在自己的網(wǎng)絡(luò)中實(shí)施 SAV，并要求其下游客戶這樣做。

在攻擊者使用自定義 DDoS 攻擊基礎(chǔ)設(shè)施的初始階段之后，TP-240 反射/放大似乎已被武器化并添加到所謂的“ booter/stresser” DDoS-for-hire 服務(wù)，將其置于一般攻擊者的范圍內(nèi)。

本文翻譯自：https://blog.cloudflare.com/cve-2022-26143/如若轉(zhuǎn)載，請(qǐng)注明原文地址。