黑客滥用 Mitel 设备将 DDoS 攻击扩大 40 亿倍

已经观察到威胁行为者滥用高影响反射/放大方法来进行长达 14 小时的持续分布式拒绝服务 (DDoS) 攻击，放大率达到 4,294,967,296 倍，创下历史新高。

被称为TP240PhoneHome ( CVE-2022-26143 )的攻击向量已被武器化，以发动针对宽带接入 ISP、金融机构、物流公司、游戏公司和其他组织的重大 DDoS 攻击。

“大约 2,600 个 Mitel MiCollab 和 MiVoice Business Express 协作系统作为 PBX 到 Internet 网关被错误地部署在暴露于公共 Internet 的可滥用系统测试设施中，”Akamai 研究员 Chad Seaman在联合咨询中说。

“攻击者正在积极利用这些系统发起每秒超过 5300 万个数据包 (PPS) 的反射/放大 DDoS 攻击。”

DDoS 反射攻击通常涉及欺骗受害者的 IP 地址，以重定向来自目标（如 DNS、NTP 或 CLDAP 服务器）的响应，使得发送给欺骗发送者的回复远大于请求，从而导致完全无法访问的服务。

据说攻击的第一个迹象是在 2022 年 2 月 18 日使用 Mitel 的 MiCollab 和 MiVoice Business Express 协作系统作为 DDoS 反射器检测到的，这是由于无意中将未经身份验证的测试设施暴露于公共互联网而造成的。

“这种特殊的攻击向量与大多数 UDP 反射/放大攻击方法不同，因为暴露的系统测试设施可以被滥用，通过单个欺骗性攻击启动数据包发起持续时间长达 14 小时的 DDoS 攻击，从而导致创纪录的4,294,967,296:1的数据包放大率。"

具体来说，这些攻击将一个名为 tp240dvr（“TP-240 驱动程序”）的驱动程序武器化，该驱动程序旨在侦听 UDP 端口 10074 上的命令，并且“并不打算暴露在互联网上”，Akamai 解释说，并补充说“正是这种暴露于最终允许它被滥用的互联网。”

“对 tp240dvr 二进制文件的检查表明，由于其设计，理论上攻击者可以使服务对单个恶意命令发出 2,147,483,647 个响应。每个响应在网络上生成两个数据包，导致大约 4,294,967,294 个放大的攻击数据包被定向到攻击受害者。”

作为对这一发现的回应，Mitel 周二发布了软件更新，禁止公众访问测试功能，同时将该问题描述为一个访问控制漏洞，可被利用来获取敏感信息。

该公司表示：“TP-240 反射/放大攻击的附带影响对于拥有暴露在互联网上的 Mitel MiCollab 和 MiVoice Business Express 协作系统被滥用为 DDoS 反射器/放大器的组织可能具有重大意义。”

“这可能包括通过这些系统的语音通信部分或全部中断，以及由于传输容量消耗、网络地址转换的状态表耗尽、状态防火墙等导致的额外服务中断。”