黑客滥用 Mitel 设备将 DDoS 攻击放大40亿倍

Hackernews 编译，转载请注明出处：

研究员发现，黑客滥用高影响反射/放大方法，实施长达14小时的持续分布式拒绝服务攻击，放大率达到了破纪录的4294967296倍。

这种攻击载体被称为 TP240PhoneHome (CVE-2022-26143) ，已经被武器化，可以针对宽带接入服务提供商、金融机构、物流公司、游戏公司和其他组织发起严重的 DDoS 攻击。

Akamai 研究员 Chad Seaman 在一份联合报告中说: “大约有2600个 Mitel MiCollab 和 MiVoice Business Express 协作系统作为 PBX联网的网关被错误地部署，一个频繁使用的系统测试设施暴露在一个公共互联网上。”

“攻击者主动利用这些系统发起每秒5300多万个数据包的反射/放大 DDoS 攻击(PPS)。”

DDoS 反射攻击通常包括假冒受害者的 IP 地址，以重定向来自目标服务器（比如 DNS、 NTP 或 CLDAP 服务器）的响应，这种方式使得发送给假冒的发送者的答复远大于请求，导致服务完全无法访问。

攻击的第一个迹象据说是在2022年2月18日被发现的，黑客使用 Mitel 的 MiCollab 和 MiVoice 商业快递协作系统作为 DDoS 反射器，多亏一个未经认证的测试设施无意中暴露在公共互联网上，这才有了线索。

“这个特定的攻击载体不同于大多数 UDP 反射/放大攻击方法，因为暴露的系统测试设施可以被滥用，通过一个单独的仿冒攻击发起包，发动持续时间长达14小时的 DDoS 攻击，导致数据包放大比为惊人的4,294,967,296比1。”

具体来说，这些攻击将一个名为 tp240dvr (“ TP-240驱动程序”)的驱动程序武器化，这个驱动程序被设计用来监听 UDP 端口10074上的命令，“它并不打算暴露在互联网上,”Akamai 解释说，并补充道，“但正是其在互联网的暴露最终导致了它被滥用。”

“对 tp240dvr 二进制文件的检查表明，由于其设计，攻击者理论上可以使该服务对单个恶意命令发出2,147,483,647个响应。每个响应在线路上产生两个数据包，导致大约4,294,967,294个放大的攻击数据包指向受害者。”

作为对这一发现的回应，Mitel在周二发布了软件更新，禁止公开访问测试功能，同时将这一问题描述为访问控制漏洞，黑客可以利用该漏洞获取敏感信息。

该公司表示: “ 对于那些使用被滥用为 DDoS 反射器/放大器的 Mitel MiCollab 和 MiVoice Business Express 协作系统的组织来说，tp-240反射/放大攻击的附带影响要引起重视。”

“影响可能包括部分或全部这些系统中的语音通信中断，以及由于传输能力消耗、网络地址转换的状态表耗尽、状态防火墙等原因造成的额外服务中断。”

消息来源：TheHackerNews，译者：Zoeppo；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文