黑客利用商业电话系统漏洞发起DDoS攻击
从上月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。
经进一步调查,被滥用发动这些攻击的设备是 Mitel 生产的 MiCollab 和 MiVoice Business Express 协作系统,其中包含 TP-240 VoIP 处理接口卡和支持软件;它们的主要功能是为 PBX 系统提供基于互联网的站点到站点语音连接。
这些系统中大约有 2600 个配置不正确,因此未经身份验证的系统测试设施无意中暴露在公共 Internet 中,从而使攻击者可以利用这些 PBX VoIP 网关作为 DDoS 反射器 / 放大器。
Mitel 意识到这些系统被滥用以促进高 pps(每秒数据包数)DDoS 攻击,并一直在积极与客户合作,通过修补软件来修复可滥用设备,这些软件会禁止公众访问系统测试设施。
接下来,研究人员将解释驱动程序是如何被滥用的,并分享推荐的缓解措施。这项研究是由 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、NETSCOUT ASERT、TELUS、Team Cymru 和 Shadowserver Foundation 的一组研究人员合作创建的。
许多不应该暴露在公共互联网上的可滥用服务却被攻击者利用,供应商可以通过在发货前在设备上采用 " 默认安全 " 的设置来防止这种情况。
如果所有网络运营商都实施了入口和出口源地址验证(SAV,也称为反欺骗),则无法发起反射 / 放大 DDoS 攻击。发起此类攻击需要能够欺骗预期攻击目标的 IP 地址。服务提供商必须继续在自己的网络中实施 SAV,并要求其下游客户这样做。
在攻击者使用自定义 DDoS 攻击基础设施的初始阶段之后,TP-240 反射 / 放大似乎已被武器化并添加到所谓的 " booter/stresser" DDoS-for-hire 服务,将其置于一般攻击者的范围内。