目录导航
可以从单个数据包发起 In-the-wild DDoS 攻击以创建 TB 级流量
一种不应从 PBX 到 Internet 的网关暴露于 Internet 的测试模式,具有 4,294,967,296:1 的放大率。
来自 Akamai、Cloudflare、Lumen Black Lotus Labs、Mitel、Netscour、Team Cymru、Telus 和 Shadowserver Foundation 的安全研究人员披露了放大率超过 40 亿比一的拒绝服务攻击包。
该漏洞被称为 CVE-2022-26143,存在于大约 2,600 个配置不正确的 Mitel MiCollab 和 MiVoice Business Express 系统中,这些系统充当 PBX 到 Internet 的网关,并且具有不应暴露于 Internet 的测试模式。
“暴露的系统测试设施可被滥用,通过单个欺骗性攻击启动数据包发起持续时间长达 14 小时的 DDoS 攻击,导致数据包放大率达到创纪录的 4,294,967,296:1,”一篇博客文章关于 Shadowserver 的解释。
“需要注意的是,这种单包攻击发起能力具有阻止网络运营商追溯被欺骗的攻击发起者流量的效果。这有助于掩盖攻击流量生成基础设施,与其他 UDP 反射/放大 DDoS 攻击向量相比。”
Mitel 系统中的驱动程序包含一个对状态更新数据包执行压力测试的命令,理论上可以在 14 小时内以 1,184 字节的最大可能大小生成 4,294,967,294 个数据包。
博客说:“这将产生来自单个反射器/放大器的持续洪流,攻击流量略低于 393Mbps,所有这些都是由长度仅为 1,119 字节的单个欺骗性攻击发起者数据包造成的。”
“这导致了几乎无法想象的 2,200,288,816:1 的放大率——由单个数据包触发的 2200 亿% 的乘数。”
值得庆幸的是,事实证明 Mitel 系统一次只能处理一个命令,所以如果一个系统被用于 DDoS,实际用户可能想知道为什么它不可用并且出站连接被浸泡,博客指出。
它补充说,除了更新系统外,Mitel 用户还可以使用标准网络防御工具检测和阻止 UDP 端口 10074 上的不适当传入流量。建议接受攻击的人使用 DDoS 防御。
使用该漏洞的第一次攻击始于 2 月 18 日,这些攻击主要反映在 80 和 443 端口,目标是 ISP、金融机构和物流公司。
CVE-2022-26143详情
执行摘要
- 一种新的反射/放大分布式拒绝服务 (DDoS) 向量具有创纪录的 4,294,967,296:1 的潜在放大率,已被野外攻击者滥用以发起多次高影响 DDoS 攻击。
- 安全研究人员、网络运营商和安全供应商观察到了这些攻击,并组成了一个工作组来调查新的 DDoS 向量并提供缓解指导。
- 大约 2,600 个充当 PBX 到 Internet 网关的 Mitel MiCollab 和 MiVoice Business Express 协作系统被错误地部署在暴露于公共 Internet 的可滥用系统测试设施中。
- 攻击者积极利用这些系统发起每秒超过 5300 万个数据包 (mpps) 的反射/放大 DDoS 攻击。通过优化攻击调整,此 DDoS 向量的潜在流量收益明显更高。
- 已经观察到针对宽带接入 ISP、金融机构、物流公司、游戏公司和其他垂直市场的组织的攻击。
- 可以使用标准的 DDoS 防御技术缓解攻击。
- Mitel 已发布修补软件以禁用可滥用的测试设施,并积极与客户一起进行补救工作。
- 研究和缓解工作组的贡献者包括 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、Mitel、NETSCOUT ASERT、Team Cymru、TELUS 和 Shadowserver Foundation。
介绍
从 2022 年 2 月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。
经进一步调查,被滥用的发起这些攻击的设备是Mitel生产的 MiCollab 和 MiVoice Business Express 协作系统,其中包含 TP-240 VoIP 处理接口卡和支持软件;它们的主要功能是为 PBX 系统提供基于 Internet 的站点到站点语音连接。
这些系统中大约有 2600 个系统配置不正确,因此未经身份验证的系统测试设施无意中暴露在公共 Internet 中,从而使攻击者可以利用这些 PBX VoIP 网关作为 DDoS 反射器/放大器。
Mitel 意识到这些系统正在被滥用以促进高 pps DDoS 攻击,并一直在积极与客户合作,通过修补软件来修复可滥用的设备,这些软件会禁止公众访问系统测试设施。
在本博客中,我们将进一步探索观察到的活动,解释驱动程序是如何被滥用的,并分享推荐的缓解措施。这项研究是由 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、NETSCOUT ASERT、Cymru 团队、TELUS 和 Shadowserver 基金会的一组研究人员合作创建的。
野外 DDOS 攻击
虽然在 2022 年 1 月 8 日和 2 月 7 日观察到与易受攻击的服务相关的网络流量高峰,但我们认为第一次利用该漏洞的实际攻击始于 2 月 18 日。
观察到的攻击主要基于 pps 或吞吐量,并且似乎是源自 UDP/10074 的 UDP 反射/放大攻击,主要针对目标端口 UDP/80 和 UDP/443。在此之前观察到的此类攻击中最大的一次攻击约为 53 mpps 和 23 gbps。该攻击的平均数据包大小约为 60 字节,攻击持续时间约为 5 分钟。放大后的攻击报文不分片。
这种特殊的攻击向量与大多数 UDP 反射/放大攻击方法的不同之处在于,暴露的系统测试设施可以被滥用,通过单个欺骗性攻击启动数据包发起长达 14 小时的持续 DDoS 攻击,从而产生记录-设置数据包放大比为4,294,967,296:1。对此 DDoS 攻击向量的受控测试产生了超过 400mpps 的持续 DDoS 攻击流量。
需要注意的是,这种单包攻击发起能力具有阻止网络运营商追溯被欺骗的攻击发起者流量的效果。这有助于掩盖攻击流量生成基础设施,与其他 UDP 反射/放大 DDoS 攻击向量相比,攻击来源被追踪的可能性更低。
滥用 TP240DVR 驱动程序
受影响的 Mitel 系统上的滥用服务称为 tp240dvr(“TP-240 驱动程序”),并且似乎作为软件桥运行以促进与 TDM/VoIP PCI 接口卡的交互。该服务侦听 UDP/10074 上的命令,并不意味着暴露给 Internet,正如这些设备的制造商所确认的那样。正是这种对互联网的暴露最终使它被滥用。
tp240dvr 服务公开了一个不寻常的命令,该命令旨在对其客户端进行压力测试,以便于调试和性能测试。此命令可被滥用以导致 tp240dvr 服务发送此压力测试以攻击受害者。流量由高速率的简短信息状态更新数据包组成,这些数据包可能会使受害者不堪重负并导致 DDoS 场景。
攻击者也可以滥用此命令来发起非常高吞吐量的攻击。攻击者可以使用特制的命令使 tp240dvr 服务发送更大的信息状态更新数据包,从而显着提高放大率。
通过在实验室环境中广泛测试基于 TP-240 的隔离虚拟系统,研究人员能够使这些设备产生大量流量,以响应相对较小的请求负载。我们将在以下部分中更深入地介绍这种攻击场景。
计算潜在的攻击影响
如前所述,通过这种可滥用的测试工具进行放大与使用大多数其他 UDP 反射/放大 DDoS 向量实现的方式大不相同。通常,反射/放大攻击要求攻击者持续向可滥用节点传输恶意有效载荷,只要他们希望攻击受害者。在 TP-240 反射/放大的情况下,这种持续传输并不是发起高影响 DDoS 攻击的必要条件。
相反,利用 TP-240 反射/放大的攻击者可以使用单个数据包发起高影响 DDoS 攻击。对 tp240dvr 二进制文件的检查表明,由于其设计,攻击者理论上可以使服务对单个恶意命令发出 2,147,483,647 个响应。每个响应在网络上生成两个数据包,导致大约 4,294,967,294 个放大的攻击数据包被定向到攻击受害者。
对于命令的每个响应,第一个数据包包含一个计数器,该计数器随着每个发送的响应而递增。随着计数器值的增加,第一个数据包的大小将从 36 字节增长到 45 字节。第二个数据包包含函数的诊断输出,可能会受到攻击者的影响。通过优化每个启动器数据包以最大化第二个数据包的大小,每个命令将导致最大长度为 1,184 字节的放大数据包。
理论上,单个可滥用节点以每秒 80,000 个数据包 (kpps) 的速率生成上限 4,294,967,294 个数据包,将导致大约 14 小时的攻击持续时间。在攻击过程中,仅“计数器”数据包就会产生大约 95.5 GB 的放大攻击流量,发往目标网络。最大填充的“诊断输出”数据包将额外增加 2.5 TB 的指向目标的攻击流量。
这将产生来自单个反射器/放大器的攻击流量接近 393 mbps 的持续洪流,所有这些都是由长度仅为 1,119 字节的单个欺骗性攻击发起者数据包造成的。这导致了几乎无法想象的放大率 2,200,288,816:1 — 2200 亿%的乘数,由单个数据包触发。
攻击量和同时性的上限
tp240dvr 服务使用单线程处理命令。这意味着它们一次只能处理一个命令,因此一次只能用于发起一次攻击。在上面展示的示例场景中,在被滥用的设备将攻击目标的 14 小时内,它不能被用来攻击任何其他目标。这在 DDoS 反射/放大向量的上下文中有些独特。
尽管这一特性也导致合法用户无法使用 tp240dvr 服务,但让多个攻击者并行利用这些设备要好得多——这让这些系统的合法运营商想知道为什么他们的出站 Internet 数据容量被消耗在高得多的利率。
此外,就流量生成能力而言,这些设备似乎在相对低功耗的硬件上。在 100 gbps 链接、数十个 CPU 内核和多线程功能已司空见惯的 Internet 上,我们都应该庆幸的是,在能够单独生成 mpps 并运行于数以千计的并行线程。
最后,还有一个好消息是,在历史上由政府、商业企业和其他组织购买和部署的数以万计的此类设备中,其中相对较少的设备的配置方式使它们无法使用。从攻击者的角度来看,这种可滥用状态以及其中许多已得到适当保护并脱机。
附带影响
TP-240 反射/放大攻击的附带影响对于拥有暴露在互联网上的 Mitel MiCollab 和 MiVoice Business Express 协作系统被滥用为 DDoS 反射器/放大器的组织可能具有重大意义。
这可能包括通过这些系统的语音通信的部分或全部中断,以及由于传输容量消耗、网络地址转换的状态表耗尽、状态防火墙等导致的额外服务中断。
网络运营商对所有源自 UDP/10074 的流量进行批发过滤可能会过度缓解合法的 Internet 流量,因此是禁忌的。
建议措施
TP-240 反射/放大 DDoS 攻击源自 UDP/10074,并以攻击者选择的 UDP 端口为目标。可以使用标准 DDoS 防御工具和技术检测、分类、追溯和安全缓解这种放大的攻击流量。
通过开源和商业分析系统的流量遥测和数据包捕获可以提醒网络运营商和最终客户 TP-240 反射/放大攻击。
网络访问控制列表 (ACL)、flowspec、基于目标的远程触发黑洞、基于源的远程触发黑洞和智能 DDoS 缓解系统可用于缓解这些攻击。
网络运营商应进行侦察,以识别并促进对其网络和/或客户网络上可滥用的 TP-240 反射器/放大器的修复。Mitel MiCollab 和 MiVoice Business Express 协作系统的运营商应主动联系 Mitel 以接收来自供应商的具体补救指示。
拥有面向公众的关键业务互联网资产的组织应确保已实施所有相关的网络基础设施、架构和运营最佳当前实践 (BCP),包括仅允许通过所需 IP 协议和端口进行互联网流量的特定情况的网络访问策略。进出内部组织人员的 Internet 访问网络流量应与进出面向公众的 Internet 资产的 Internet 流量隔离,并通过单独的上游 Internet 传输链路提供服务。
所有面向公众的互联网资产和支持基础设施的 DDoS 防御应以适合情况的方式实施,包括定期测试,以确保将组织服务器/服务/应用程序的任何更改纳入其 DDoS 防御计划。
运营面向公众的关键任务互联网资产和/或基础设施的组织必须确保所有服务器/服务/应用程序/数据存储/基础设施元素都受到保护,免受 DDoS 攻击,并包含在组织 DDoS 缓解的定期、实际测试中计划。此计划中必须包括关键的辅助支持服务,例如权威和递归 DNS 服务器。
网络运营商应实施入口和出口源地址验证,以防止攻击者发起反射/放大 DDoS 攻击。
本文档中描述的所有潜在 DDoS 攻击缓解措施必须在部署到生产网络之前以适合情况的方式进行测试和定制。
缓解
基于 Internet 的 TP-240 的 Mitel MiCollab 和 MiVoice Business Express 协作系统的运营商可以通过 ACL、防火墙规则和其他标准网络访问控制阻止发往 UDP/10074 的传入 Internet 流量,从而防止滥用其系统来发动 DDoS 攻击政策执行机制。
Mitel 提供了修补软件版本,通过防止服务暴露于互联网,防止配备 TP-240 的 MiCollab 和 MiVoice Business Express 协作系统被滥用为 DDoS 反射器/放大器。Mitel 客户应联系供应商以获取补救说明。
对可滥用的 TP-240 反射器/放大器的附带影响可以提醒网络运营商和/或最终客户从“非军事区”网络或互联网数据中心移除受影响的系统,或禁用允许特定 UDP/10074 流量来源的相关 UDP 端口转发规则从公共 Internet 访问这些设备,从而防止它们被滥用以发起反射/放大 DDoS 攻击。
放大的攻击流量没有碎片化,因此没有由非初始碎片组成的额外攻击组件,就像许多其他 UDP 反射/放大 DDoS 向量的情况一样。
实施入口和出口源地址验证(SAV;也称为反欺骗)可以防止攻击者发起反射/放大 DDoS 攻击。
结论
不幸的是,许多不应该暴露在公共互联网上的可滥用服务仍然留给攻击者利用。此场景是不遵守供应商指导的实际部署的又一个示例。供应商可以通过在发货前在设备上采用“默认安全”的姿势来防止这种情况。
如果所有网络运营商都实施了入口和出口 SAV(或反欺骗),则无法发起反射/放大 DDoS 攻击。发起此类攻击需要能够欺骗预期攻击目标的 IP 地址。服务提供商必须继续在自己的网络中实施 SAV,并要求其下游客户也这样做。
与较新的 DDoS 攻击媒介的常规情况一样,在高级攻击者使用定制 DDoS 攻击基础设施的初始阶段之后,TP-240 反射/放大似乎已被武器化并添加到所谓的“ booter/stresser” DDoS-for-hire 服务,将其置于一般攻击者的范围内。
运营、研究和供应商社区之间的协作对于 Internet 的持续生存至关重要。这种高影响力的 DDoS 攻击向量的快速响应和持续修复只有通过这种协作才能实现。对互联网的稳定性和弹性具有既得利益的组织应将跨行业合作作为一项核心原则予以接受和支持。
研究和缓解工作组的共同努力表明,跨行业成功合作以快速修复可用性和弹性威胁不仅是可能的,而且对于全球互联网的持续生存能力也越来越重要。
来源
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26143/
https://www.mitel.com/en-ca/support/security-advisories/mitel-product-security-advisory-22-0001
https://www.cisa.gov/uscert/ncas/alerts/TA14-017A
https://www.rfc-editor.org/info/bcp38
https://www.rfc-editor.org/info/bcp84
https://datatracker.ietf.org/doc/html/rfc7039
研究和缓解工作组贡献者
以下组织的研究人员为本文档中描述的发现和建议做出了贡献:
特别是,缓解工作组希望引用 Mitel 的模范合作、快速响应和持续参与修复工作。Mitel 迅速创建和传播了修补软件,与他们的客户和合作伙伴一起更新受影响的系统,并在工作组制定本文档时提供了宝贵的专业知识。
转载请注明出处及链接