研究员发现,黑客滥用高影响反射/放大 *** ,实施长达14小时的持续分布式拒绝服务攻击,放大率达到了破纪录的4294967296倍。
这种攻击载体被称为 TP240PhoneHome (CVE-2022-26143) ,已经被武器化,可以针对宽带接入服务提供商、金融机构、物流公司、游戏公司和其他组织发起严重的 DDoS 攻击。
Akamai 研究员 Chad Seaman 在一份联合报告中说: “大约有2600个 Mitel MiCollab 和 MiVoice Business Express 协作系统作为 PBX联网的网关被错误地部署,一个频繁使用的系统测试设施暴露在一个公共互联网上。”
“攻击者主动利用这些系统发起每秒5300多万个数据包的反射/放大 DDoS 攻击(PPS)。”
DDoS 反射攻击通常包括假冒受害者的 IP 地址,以重定向来自目标服务器(比如 DNS、 NTP 或 CLDAP 服务器)的响应,这种方式使得发送给假冒的发送者的答复远大于请求,导致服务完全无法访问。
攻击的之一个迹象据说是在2022年2月18日被发现的,黑客使用 Mitel 的 MiCollab 和 MiVoice 商业快递协作系统作为 DDoS 反射器,多亏一个未经认证的测试设施无意中暴露在公共互联网上,这才有了线索。
“这个特定的攻击载体不同于大多数 UDP 反射/放大攻击 *** ,因为暴露的系统测试设施可以被滥用,通过一个单独的仿冒攻击发起包,发动持续时间长达14小时的 DDoS 攻击,导致数据包放大比为惊人的4,294,967,296比1。”
具体来说,这些攻击将一个名为 tp240dvr (“ TP-240驱动程序”)的驱动程序武器化,这个驱动程序被设计用来监听 UDP 端口10074上的命令,“它并不打算暴露在互联网上,”Akamai 解释说,并补充道,“但正是其在互联网的暴露最终导致了它被滥用。”
“对 tp240dvr 二进制文件的检查表明,由于其设计,攻击者理论上可以使该服务对单个恶意命令发出2,147,483,647个响应。每个响应在线路上产生两个数据包,导致大约4,294,967,294个放大的攻击数据包指向受害者。”
作为对这一发现的回应,Mitel在周二发布了软件更新,禁止公开访问测试功能,同时将这一问题描述为访问控制漏洞,黑客可以利用该漏洞获取敏感信息。
该公司表示: “ 对于那些使用被滥用为 DDoS 反射器/放大器的 Mitel MiCollab 和 MiVoice Business Express 协作系统的组织来说,tp-240反射/放大攻击的附带影响要引起重视。”
“影响可能包括部分或全部这些系统中的语音通信中断,以及由于传输能力消耗、 *** 地址转换的状态表耗尽、状态防火墙等原因造成的额外服务中断。”
消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文