新型DDoS攻击:单包即可发起 最高放大2千亿倍
来自Akamai、CuldFLARE、 Lumen Black Lotus Labs、MITEL、NETSCORE、Team CYMRU、TELUS和SimoServer基金会的安全研究人员公开了一种新型拒绝服务攻击,可以从单个数据包发起,而且放大率超过40亿。
攻击原理
该漏洞名为CVE-2022-26143,存在于大约2600个未正确配置的Mitel MiCollab和MiVoice Business Express系统中,这些系统充当互联网程控交换机的作用,内含测试模式。问题就出在这个测试模式,可以通过互联网访问。
Shadowserver上的一篇博文解释说:“测试设备可能被滥用,通过单个欺骗攻击发起数据包,发起持续时间长达14小时的DDoS攻击,导致创纪录的数据包放大率达到4294967296:1。”
“这种单包攻击还可以阻止网络运营商对伪造的攻击发起方流量进行回溯,掩盖生成攻击流量的基础设施,与其他UDP反射/放大DDoS攻击相比,使追踪攻击源的难度加大。”
Mitel系统中的驱动程序包含一个命令,该命令对状态更新数据包执行压力测试,理论上可以在14小时内以1184字节的最大可能大小生成4294967294个数据包。
“这将导致来自单个反射器/放大器的产生393Mbps以下的持续洪水攻击,所有这些都是由一个长度仅为1119字节的伪造攻击发起方数据包造成的。”。
“可以产生几乎无法想象的2200288816:1的放大率——一个数据包触发的2200亿倍的倍增。”
万幸的是,Mitel系统一次只能处理一个命令,因此,如果一个系统被用于DDoS,用户就会发现系统被占用。
第一次观察到利用该漏洞进行的攻击是在2月18日,主要针对80和443端口,攻击目标是ISP、金融机构和物流公司。
解决办法
除了更新系统,Mitel用户还可以通过标准的网络防护工具检测,阻止UDP端口10074上的非法访问流量。受攻击方的建议使用抗D措施。
参考阅读