通过利用商业电话系统漏洞,黑客发起DDoS攻击
自5月中旬开始,有相关安全研究人员、网络运营商和安全供应商发现,来自UDP端口10074的DDoS攻击激增,其攻击目标是宽带接入ISP、金融机构、物流公司和其他垂直市场的组织。
经过深入调查发现,被滥用发动这些攻击的设备是Mitel生产的MiCollab和MiVoice Business Express协作系统,其中包含TP-240 VoIP处理接口卡和支持软件;它们的主要功能是为PBX系统提供基于互联网的站点到站点语音连接。
在系统中大约有2600个配置不正确,因此没有经过身份验证的系统检测设施无意中显露在公共Internet中,以至于攻击者可以通过利用这些PBX VoIP网关达到作为DDoS反射器/放大器的目的。
Mitel意识到这些系统被滥用以促进高pps(每秒数据包数)DDoS攻击,同时在和客户一致合作的意向,通过修补软件来修复可滥用设备,让这些软件会禁止公众访问系统测试设施的目的。
接下来,研究人员将进一步说明驱动程序是如何被滥用的,并分享推荐的缓解方案。这项研究是由Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、NETSCOUT ASERT、TELUS、Team Cymru和Shadowserver Foundation的一组研究人员合作创建的。
很多不应该暴露在公共互联网上的可滥用服务却被攻击者利用,发货前,供应商在设备上采用"默认安全"的设置来防止这种情况的发生。
如果全部网络运营商都实施了入口和出口源地址验证(SAV,也称为反欺骗),则无法发起反射/放大DDoS攻击。发起此类攻击需要能够欺骗预期攻击目标的IP地址。服务提供商必须继续在自己的网络中实施SAV,并要求其下游客户这样做。
在攻击者使用自定义DDoS攻击基础设施的初始阶段之后,TP-240反射/放大似乎已被武器化并添加到所谓的"booter/stresser"DDoS-for-hire服务,将其置于一般攻击者的范围内。