投稿
  1. 谷达鸭首页
  2. 投稿

网络设备漏洞引发放大40亿倍的惊天DDoS攻击

Joe-科技编辑 投稿

黑客开采加拿大电信业者Mitel的IP网络设备漏洞发动DDoS攻击,研究人员研判该漏洞能引发空前DDoS流量

网络设备漏洞引发放大40亿倍的惊天DDoS攻击

多家安全及网络厂商研究人员发现一款IP网络设备漏洞,理论上能让攻击者以1个封包引发42亿倍放大率的反射放大DDoS流量,而且已经有黑客实际开采向企业发动攻击。

资安、网络服务、电信及设备业者包括Akamai、Cloudflare、Lumen Black Lotus Labs、Mitel、Netscour、Team Cymru、Telus和The Shadowserver基金会,他们在今年1月到2月初,观察到一波来自UDP传输埠10074的DDoS流量,攻击宽频ISP、金融机构、运筹及其他产业公司。

分析显示是加拿大电信业者Mitel开发,主要用于在VoIP通讯传输中,扮演PBX系统和互联网间闸道的MiCollab及MiVoice Business Express,遭黑客利用发动这波DDoS。 近2600台这类系统因为在一次流量压力测试中,部署错误曝露于互联网,一项漏洞被黑客开采后被当作攻击跳板。

研究团队分析这是一波UDP反射/放大(reflection/amplification)DDoS攻击。 根本原因是Mitel系统中,一项促进系统与TDM/VoIP PCI网卡间传输的服务tp240dvr遭到滥用。 这项服务原本不应曝露于互联网,但是它却在一次对客户的流量压力测试中,因一项「罕见的」指令而曝露于互联网。 本次压力测试发出的指令,能下达命令使tp240dvr服务(以及Mitel服务器)发送极大状态更新封包,因此攻击者可下达恶意指令,促使tp240dvr服务发送大量流量。 本次Mitel MiCollab 及MiVoice Business Express服务器,即被用作DDoS攻击的放大器。

研究人员另外进行的实验显示,这项漏洞具有引发空前DDoS流量的潜力。 在此之前,此类攻击流量大约是53Mpps及23Gbps,平均封包大小将近60bytes,持续时间约5分钟。 但最新发现的漏洞理论上,能让攻击者利用1个封包来引发破记录,最大4,294,967,296:1封包放大倍数,以80kpps传输率导向受害DDoS放大器,时间可长达14小时,封包最大可到1,184 bytes。

而经过反射放大,导向受害目标的流量可达95.5GB,加上「诊断式输出」(diagnostic output)封包,最后抵达目标网络的流量放大比例,理论上可达到2,200,288,816:1,即22亿倍。 研究团队最后实际产出了超过400Mpps的DDoS攻击流量。

研究人员指出,只使用1个封包的攻击能力将使ISP无法追查出攻击来源,有助于隐藏产生流量的基础架构,也让研究人员更难发现它和其他UDP放射/放大DDoS的相似性。

不过经过Mitel修补,其政府、商业及其他单位使用的数万台系统问题已经获得解决。 此外,研究团队指出,这波反射/放大DDoS攻击可以标准的DDoS防御攻击和手法来侦测、分类、追查及缓解。 利用开源或市售的流量测试及封包撷取工具,就能侦测并提早示警。 而网络访问表或DDoS缓解系统服务则能缓解攻击。

但研究人员仍提醒Mitel MiCollab和 MiVoice Business Express用户应提高警觉,并尽速请厂商修补漏洞。

(0)
打赏 微信扫一扫 微信扫一扫
Joe-科技编辑Joe-科技编辑认证作者
0 0

相关推荐

发表回复

登录后才能评论