黑客运用商业电话系统漏洞发起 DDoS 攻击
发布时间:2022-06-19 11:48:05 所属栏目:安全 来源:互联网
导读:从上月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。 经进一步调查,被滥用发动这些攻击的设备是 Mitel 生产的 MiCollab 和 MiVoice Business
|
从上月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。 经进一步调查,被滥用发动这些攻击的设备是 Mitel 生产的 MiCollab 和 MiVoice Business Express 协作系统,其中包含 TP-240 VoIP 处理接口卡和支持软件;它们的主要功能是为 PBX 系统提供基于互联网的站点到站点语音连接。 这种特殊的攻击向量与大多数 UDP 反射/放大攻击方法的不同之处在于,暴露的系统测试设施可被滥用,通过单一欺骗性攻击启动数据包发起长达 14 小时的持续 DDoS 攻击,从而产生的放大比为4294967296:1。对此 DDoS 攻击向量的受控测试产生了超过 400 Mmpps 的持续 DDoS 攻击流量。 需要注意的是,这种单包攻击发起能力具有阻止网络运营商追溯被欺骗的攻击发起者流量的效果。这有助于掩盖攻击流量生成基础设施,与其他 UDP 反射/放大 DDoS 攻击向量相比,攻击来源被追踪的可能性更低。 滥用 tp240dvr 驱动程序 受影响的 Mitel 系统上的滥用服务称为 tp240dvr(“TP-240 驱动程序”),它看起来像是一个软件桥,以促进与 TDM/VoIP PCI 接口卡的交互。该服务侦听 UDP/10074 上的命令,并不意味着暴露给互联网,正如这些设备的制造商所确认的那样。正是这种对互联网的暴露最终使它被滥用。 tp240dvr 服务公开了一个不寻常的命令,该命令旨在对其客户端进行压力测试,以便于调试和性能测试。此命令可被滥用以导致 tp240dvr 服务发送此压力测试以攻击受害者。流量由高速率的简短信息状态更新数据包组成,这些数据包可能会使受害者不堪重负并导致 DDoS 发生。 攻击者也可以滥用此命令来发起非常高流量的攻击。攻击者可以使用自定义的命令使 tp240dvr 服务发送更大的信息状态更新数据包,从而显着提高放大率。 通过在实验室环境中广泛测试基于 TP-240 的隔离虚拟系统,研究人员能够使这些设备产生大量流量以响应相对较小的请求负载。研究人员将在以下部分中更深入地介绍这种攻击场景。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号