從上月中旬開始，安全研究人員、網絡運營商和安全供應商發現來自 UDP 端口 10074 的 DDoS 攻擊激增，目標是寬帶接入 ISP、金融機構、物流公司和其他垂直市場的組織。

經進一步調查，被濫用發動這些攻擊的設備是 Mitel 生產的 MiCollab 和 MiVoice Business Express 協作系統，其中包含 TP-240 VoIP 處理接口卡和支持軟件；它們的主要功能是為 PBX 系統提供基于互聯網的站點到站點語音連接。

這些系統中大約有 2600 個配置不正確，因此未經身份驗證的系統測試設施無意中暴露在公共 Internet 中，從而使攻擊者可以利用這些 PBX VoIP 網關作為 DDoS 反射器/放大器。

Mitel 意識到這些系統被濫用以促進高 pps（每秒數據包數）DDoS 攻擊，并一直在積極與客戶合作，通過修補軟件來修復可濫用設備，這些軟件會禁止公眾訪問系統測試設施。

接下來，研究人員將解釋驅動程序是如何被濫用的，并分享推薦的緩解措施。這項研究是由 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、NETSCOUT ASERT、TELUS、Team Cymru 和 Shadowserver Foundation 的一組研究人員合作創建的。

野外 DDoS 攻擊

雖然在 2022 年 1 月 8 日和 2 月 7 日觀察到與易受攻擊的服務相關的網絡流量峰值，但研究人員認為第一次利用該漏洞的實際攻擊始于 2 月 18 日。

觀察到的攻擊主要基于每秒數據包或流量，并且似乎是源自 UDP/10074 的 UDP 反射/放大攻擊，主要針對目標端口 UDP/80 和 UDP/443。在此之前觀察到的此類攻擊中最大的一次攻擊約為 53 Mpps 和 23 Gbps。該攻擊的平均數據包大小約為 60 字節，攻擊持續時間約為 5 分鐘。放大后的攻擊報文不分段。

這種特殊的攻擊向量與大多數 UDP 反射/放大攻擊方法的不同之處在于，暴露的系統測試設施可被濫用，通過單一欺騙性攻擊啟動數據包發起長達 14 小時的持續 DDoS 攻擊，從而產生的放大比為4294967296:1。對此 DDoS 攻擊向量的受控測試產生了超過 400 Mmpps 的持續 DDoS 攻擊流量。

需要注意的是，這種單包攻擊發起能力具有阻止網絡運營商追溯被欺騙的攻擊發起者流量的效果。這有助于掩蓋攻擊流量生成基礎設施，與其他 UDP 反射/放大 DDoS 攻擊向量相比，攻擊來源被追蹤的可能性更低。

濫用 tp240dvr 驅動程序

受影響的 Mitel 系統上的濫用服務稱為 tp240dvr（“TP-240 驅動程序”），它看起來像是一個軟件橋，以促進與 TDM/VoIP PCI 接口卡的交互。該服務偵聽 UDP/10074 上的命令，并不意味著暴露給互聯網，正如這些設備的制造商所確認的那樣。正是這種對互聯網的暴露最終使它被濫用。

tp240dvr 服務公開了一個不尋常的命令，該命令旨在對其客戶端進行壓力測試，以便于調試和性能測試。此命令可被濫用以導致 tp240dvr 服務發送此壓力測試以攻擊受害者。流量由高速率的簡短信息狀態更新數據包組成，這些數據包可能會使受害者不堪重負并導致 DDoS 發生。

攻擊者也可以濫用此命令來發起非常高流量的攻擊。攻擊者可以使用自定義的命令使 tp240dvr 服務發送更大的信息狀態更新數據包，從而顯著提高放大率。

通過在實驗室環境中廣泛測試基于 TP-240 的隔離虛擬系統，研究人員能夠使這些設備產生大量流量以響應相對較小的請求負載。研究人員將在以下部分中更深入地介紹這種攻擊場景。

計算潛在的攻擊影響

如上所述，通過這種可濫用的測試工具進行放大與使用大多數其他 UDP 反射/放大 DDoS 向量實現的方式大不相同。通常，反射/放大攻擊要求攻擊者持續向可濫用節點傳輸惡意有效載荷，只要他們希望攻擊受害者。在 TP-240 反射/放大的情況下，這種持續傳輸并不是發起具有巨大影響 DDoS 攻擊的必要條件。

相反，利用 TP-240 反射/放大的攻擊者可以使用單個數據包發起高影響 DDoS 攻擊。對 tp240dvr 二進制文件的檢測表明，由于其設計，攻擊者理論上可以使服務對單個惡意命令發出 2147483647 個響應。每個響應在網絡上生成兩個數據包，導致大約 4294967294 個放大的攻擊數據包被定向到攻擊目標。

對于命令的每個響應，第一個數據包包含一個計數器，該計數器隨著每個發送的響應而遞增。隨著計數器值的增加，第一個數據包的大小將從 36 字節增長到 45 字節。第二個數據包包含函數的診斷輸出，可能會受到攻擊者的影響。通過優化每個啟動器數據包以最大化第二個數據包的大小，每個命令都將導致最大長度為 1184 字節的放大數據包。

理論上，單個可濫用節點以 80kpps 的速率生成最大 4294967294 個數據包將導致大約 14 小時的攻擊持續時間。在攻擊過程中，僅“計數器”數據包就會產生大約 95.5GB 的放大攻擊流量，發向目標網絡。最大填充的“診斷輸出”數據包將額外增加 2.5TB 的針對目標的攻擊流量。

這將產生來自單個反射器/放大器的攻擊流量接近 393mb/秒的持續泛濫，所有這些都是由長度僅為 1119 字節的單個欺騙攻擊發起者數據包造成的。這導致了幾乎無法想象的 2200288816:1 的放大率。

最大攻擊量

tp240dvr 服務使用單線程處理命令，這意味著它們一次只能處理一個命令，因此每次只能用于發起一種攻擊。在上述示例場景中， 14 小時內，它不能被用來攻擊任何其他目標。盡管這一特性也導致合法用戶無法使用 tp240dvr 服務，但這比讓多個攻擊者并行利用這些設備要好得多。

此外，就流量生成能力而言，這些設備似乎在相對低功耗的硬件上。在 100/Gbps 鏈接、數十個 CPU 內核和多線程功能已司空見慣的互聯網環境中，慶幸的是，在能夠單獨生成數百萬個數據的頂級硬件平臺上找不到這種可濫用的服務每秒數據包，并以數千個并行線程運行。

最后，還有一個好消息是，在由全球政府、商業企業和其他組織購買和部署的數以萬計的此類設備中，其中相對較少的設備的配置方式使它們無法使用。從攻擊者的角度來看，許多都得到了適當的保護，并使其離線。

間接影響

TP-240 反射/放大攻擊的間接影響對于擁有暴露于互聯網的 Mitel MiCollab 和 MiVoice Business Express 協作系統被濫用為 DDoS 反射器/放大器的組織可能具有重大意義。

這可能包括通過這些系統的部分或全部語音通信中斷，以及由于傳輸容量消耗、NAT 狀態表耗盡和狀態防火墻等導致的額外服務中斷。

網絡運營商批量過濾所有UDP/10074來源的流量可能會潛在地屏蔽合法的互聯網流量，因此是禁忌的。

緩解措施

TP-240 反射/放大 DDoS 攻擊源自 UDP/10074，并以攻擊者選擇的 UDP 端口為目標。可以使用標準 DDoS 防御工具和技術檢測、分類、追蹤和安全緩解這種放大的攻擊流量。

通過開源和商業分析系統的流量監測和數據包捕獲可以提醒網絡運營商和最終客戶 TP-240 反射/放大攻擊。

可以使用網絡訪問控制列表 (ACL)、流規范、基于目標的遠程觸發黑洞 (D/RTBH)、基于源的遠程觸發黑洞 (S/RTBH) 和智能 DDoS 緩解系統緩解這些攻擊。

網絡運營商應進行監測，以識別并促進對其網絡或客戶網絡上可濫用的 TP-240 反射器/放大器的修復。 Mitel MiCollab 和 MiVoice Business Express 協作系統的運營商應主動聯系 Mitel，以便從供應商處獲得具體的修復命令。

擁有面向公眾的關鍵業務互聯網資產的組織應確保已實施所有相關的網絡基礎設施、架構和運營最佳當前實踐 (BCP)，包括僅允許通過所需 IP 協議和端口進行互聯網流量的特定情況的網絡訪問策略。內部組織人員的互聯網接入網絡流量應與面向公眾的互聯網流量隔離，并通過單獨的上游互聯網中轉鏈接提供服務。

所有面向公眾的互聯網資產和支持基礎設施的 DDoS 防御應以實際情況為準，包括定期測試，以確保將組織服務器/服務/應用程序的任何更改納入其 DDoS 防御計劃。

運營面向公眾的關鍵任務互聯網資產或基礎設施的組織必須確保所有服務器/服務/應用程序/數據存儲/基礎設施元素都受到保護，不受DDoS 攻擊。此計劃必須包括關鍵的輔助支持服務。

為了防止攻擊者發起反射/放大DDoS攻擊，網絡運營商需要對進出源地址進行驗證。

基于tp -240的Mitel MiCollab和MiVoice Business Express協同系統的運營商可以通過訪問控制列表(acl)、防火墻規則和其他標準的網絡訪問控制策略實施機制，阻斷以UDP/10074為目標的Internet流量，從而防止系統被濫用來發起DDoS攻擊。

Mitel已經提供了補丁軟件版本，防止安裝了tp -240的MiCollab和MiVoice Business Express協作系統被濫用為DDoS反射器/放大器，防止該服務暴露在互聯網上。Mitel客戶應聯系供應商獲取修復指示。

對可濫用的 TP-240 反射器/放大器的間接影響可以提醒網絡運營商或最終客戶從“非軍事區”（DMZ）網絡或互聯網數據中心（IDC）中刪除受影響的系統，或禁用相關的 UDP 端口轉發規則允許來自公共互聯網的特定 UDP/10074 流量到達這些設備，從而防止它們被濫用以發起反射/放大 DDoS 攻擊。

放大的攻擊流量不存在碎片化，因此也就不存在由非初始碎片組成的額外攻擊組件，就像許多其他 UDP 反射/放大 DDoS 向量的情況一樣。

入口和出口源地址驗證的實現(SAV;也稱為anti-spoofing)可以防止攻擊者發起反射/放大DDoS攻擊。

總結

許多不應該暴露在公共互聯網上的可濫用服務卻被攻擊者利用，供應商可以通過在發貨前在設備上采用“默認安全”的設置來防止這種情況。

如果所有網絡運營商都實施了入口和出口源地址驗證（SAV，也稱為反欺騙），則無法發起反射/放大 DDoS 攻擊。發起此類攻擊需要能夠欺騙預期攻擊目標的 IP 地址。服務提供商必須繼續在自己的網絡中實施 SAV，并要求其下游客戶這樣做。

在攻擊者使用自定義 DDoS 攻擊基礎設施的初始階段之后，TP-240 反射/放大似乎已被武器化并添加到所謂的“ booter/stresser” DDoS-for-hire 服務，將其置于一般攻擊者的范圍內。

本文翻譯自：https://blog.cloudflare.com/cve-2022-26143/如若轉載，請注明原文地址。