前言
最近有一种全新的DDoS反射/放大攻击媒介,该媒介创记录地实现了高达4,294,967,296:1的放大倍率,并已被用于实施多起高影响力的DDoS攻击。
为应对该威胁,大量安全研究人员、网络运营商以及安全技术厂商成立了一个工作组,经过调查发现,约有2,600个由Mitel MiCollab与MiVoice Business Express开发,原本用于充当PBX与互联网之间网关设备的协作系统,但因为部署方式不当,导致这些设备的测试功能被暴露到公共互联网上,进而被滥用。
攻击者将能借助这类系统发起速率超过53Mpps(百万个数据包每秒)的DDoS反射/放大攻击,而通过进一步优化和调整,还能进一步向受害者发送更大的流量。目前全球范围内,很多ISP、金融机构、物流公司、游戏公司以及其他垂直行业的组织均已遇到过此类攻击。不过好在只需要采用标准的DDoS防御技术即可缓解此类攻击。
一、简介
2022年2月中旬开始,安全研究人员和相关组织观察到一种激增的DDoS攻击,该攻击源自UDP端口10074,主要以宽带服务ISP、金融机构、物流公司以及其他垂直行业的组织为目标。
进一步调查发现,被滥用发起这些攻击的设备是由Mitel公司生产的MiCollab和MiVoice Business Express协作系统,具体来说是这些系统中包含的TP-240 VoIP处理接口卡以及配套软件,它们的主要作用是为PBX电话交换系统提供基于互联网的站点到站点语音连接。但约有2,600个此类系统的配置存在错误,导致未经身份验证的系统测试组件被无意中暴露在公共互联网上,而攻击者可以借此利用这些PBX VoIP网关作为DDoS反射器/放大器。
二、已成功实施的DDoS攻击
虽然在2022年1月8日和2月7日就已观察到相关服务出现了网络流量峰值,但我们认为利用这一漏洞的第一次实际攻击发生在2022年2月18日。
观察到的攻击主要基于PPS,即吞吐量,似乎是来自UDP/10074端口的UDP反射/放大攻击,而这些攻击主要以UDP/80和UDP/443端口为目标。在此次事件之前,我们所观察到的这种类型的最大规模攻击相关指标约为53Mpps和23Gbps。该攻击的平均数据包大小约为60字节,攻击持续时间约为5分钟,并且被放大的攻击数据包不会被碎片化。
这种特殊的攻击媒介与大部分常见的UDP反射/放大攻击最大的区别在于,被暴露的系统测试组件可以被滥用并借此发起持续时间长达14小时的DDoS攻击,从而产生创纪录的放大倍率:4,294,967,296:1。对此DDoS攻击媒介进行的受控测试产生了超过400Mpps的持续DDoS攻击流量。
需要注意的是,这种单数据包攻击发起能力还可有效阻止网络运营商回溯追踪欺诈性的攻击发起方流量。相比其他UDP反射/放大攻击,这有助于更好地隐蔽攻击流量发起方,让攻击的来源更难以被跟踪。
三、被滥用的tp240dvr驱动程序
受影响的Mitel系统中被滥用的服务名为tp240dvr(“TP-240驱动程序”),该服务可以作为一种软件桥,可促进与TDM/VoIP PCI接口卡的交互。根据制造商的介绍,该服务会在UDP/10074端口上侦听命令,本不应暴露至互联网。而本次正是因为被错误地暴露到互联网上才导致了后续的一切滥用问题。
Tp240dvr服务提供了一组不寻常的命令,这些命令本是为了在调试和性能测试过程中对自己的客户端进行压力测试。但该命令的滥用导致tp240dvr服务将压力测试负载发送给DDoS攻击的受害者。测试流量由高速率但短小的信息状态更新数据包组成,这些数据包很容易导致受害者被淹没并产生DDoS的效果。
攻击者还可以滥用该命令发起非常高吞吐量的攻击。攻击者可以借助特制命令让tp240dvr服务发送更大的信息状态更新数据包,借此进一步提高放大倍率。
通过在实验室中使用隔离的虚拟TP-240系统进行测试,研究人员已经成功让这些设备为响应相对较小的请求载荷而产生大量流量。下文将进一步深入介绍这些攻击场景。
四、计算潜在的攻击影响
正如上文所述,通过滥用这种测试组件实现的放大,与大部分常见的UDP反射/放大机制有很大差异。通常来说,反射/放大攻击需要攻击者持续向可滥用节点传输恶意载荷才能攻击受害者。但在TP-240反射/放大中,根本不需要这种持续传输即可发起极高影响力的DDoS攻击。
实际上,TP-240反射/放大只需要使用一个数据包即可发起高影响力的DDoS攻击。通过分析tp240dvr的二进制代码发现,由于设计上的问题,理论上,攻击者可以让该服务为响应一条恶意命令而发起2,147,483,647个响应。每个响应会生成两个数据包,因此受害者最终会收到大约4,294,967,294个被放大的攻击数据包。
在命令的每个响应所生成的两个数据包中,第一个数据包中包含一个计数器,每当发送一个响应,该计数器的值会递增。而随着该计数器值的增加,第一个数据包的大小将从36字节增加至45字节。第二个数据包包含函数的诊断输出结果,而该函数也会受到攻击者的影响。通过优化每个发起数据包,以便让第二个响应数据包的大小达到最大值,每条命令将产生长度最高可达1,184字节的放大数据包。
理论上,一个被滥用的节点能够以每秒8万个数据包(80Kpps)的速率,在大约14小时的持续攻击过程中最多生成4,294,967,294个数据包。在攻击过程中,仅“计数器”数据包自己就能向被攻击的目标产生大约95.5GB的放大攻击流量。而经过处理后以最大长度发送的“诊断输出”数据包还会向被攻击的目标额外产生2.5TB的攻击流量。
五、攻击规模和并发的上限
Tp240dvr服务通过单线程的方式处理命令。这意味着它一次只能处理一条命令,因此一次只能发起一次攻击。在上文列举的例子中,在被滥用来攻击受害者的整个14小时内,同一个设备将无法用于攻击其他目标。这种特征在DDoS反射/放大攻击媒介中其实是有些罕见的。
虽然这种特征也导致在被滥用发起攻击的过程中,合法用户同样无法使用tp240dvr服务,不过如果这些设备能被多个攻击者同时使用就更好了,至少这样可以让这些设备的合法运维人员好奇为什么自己的互联网出站带宽被如此大规模地占用,进而产生警惕的心理。
此外,以所能产生的流量规模而言,这些设备实际上可以看作相对低功耗的硬件。目前的互联网中,100Ggbps的链路、数十个CPU内核的设备,以及多线程能力已经司空见惯,我们每个人都该庆幸这种被滥用的服务并没有出现在顶级性能的硬件平台上,并且并不支持同时以数千个线程来运行。
最后还有一则好消息,虽然全球范围内已经有很多政府机构、商业企业和其他组织购买并部署了数万部此类设备,但大部分设备的配置并不会导致这种滥用。并且在消息传出后,很多设备已经进行了额外的安全加固,使得攻击者无法通过互联网访问。
六、附加影响
TP-240反射/放大的一个附加影响在于,在被用于DDoS反射/放大攻击的同时,可能还会对使用相关系统的,并将其暴露在互联网上的用户产生其他方面的影响。
例如,这些组织通过受影响系统进行的语音通信可能部分或全部中断,由于网络传输带宽被耗尽可能还会导致其他服务中断,网络地址转换设备或有状态防火墙等设备的状态表资源被耗尽等。
而如果网络运营商对所有源自UDP/10074的流量进行过滤,还可能导致合法互联网流量受到影响。
七、推荐的应对措施
TP-240反射/放大DDoS攻击源自UDP/10074,会以攻击者选择的任何UDP端口为攻击目标。这种放大后的攻击流量是可以通过标准的DDoS防御工具和技术进行检测、分类、追溯和缓解的。网络运营商或最终客户可以通过开源或商业性的分析系统进行流量遥测和数据包捕获,进而检测到TP-240反射/放大攻击。随后即可通过网络访问控制列表(ACL)、Flowspec、基于目标的远程触发黑洞、基于来源的远程触发黑洞,以及智能的DDoS缓解系统缓解此类攻击。
网络运营商可通过侦查技术在自己和/或自己客户的网络内部发现并缓解被滥用的TP-240反射器/放大器。Mitel MiCollab和MiVoice Business Express协作系统的运维人员应主动联系Mitel以了解相关补救措施。为防止攻击者发起反射/放大DDoS攻击,网络运营商还应实施入向和出向源地址验证机制。
对于面向互联网提供关键业务的组织,应确保所有相关网络基础设施、架构和运维均符合最佳实践要求,包括通过针对特定情况的网络策略只允许通过必须的IP协议和端口处理互联网流量,以及将组织内部人员与外部互联网的通信与对外业务进行隔离并通过单独的上行互联网传输链路提供服务等。
所有对外互联网服务和用于支撑这些服务的基础设施都应妥善实现DDoS防护措施,例如通过定期测试确保组织内部服务器/服务/应用程序所进行的任何改动都能体现在DDoS防护规划中。
对于面向互联网提供对外关键业务和/或基础设施的企业,还需要确保自己的所有服务器/服务/应用程序/数据库/基础设施等要素均具备DDoS防护机制,并已纳入DDoS缓解方案的定期实际测试工作中。这样的缓解方案还应该包含关键性的辅助支撑服务,例如权威DNS服务器以及递归DNS服务器。
在部署到生产网络之前,本文涉及的所有DDoS攻击缓解措施都必须结合组织的具体情况进行调整和妥善测试。
八、缓解因素
如果您部署了基于TP-240的Mitel MiCollab和MiVoice Business Express协作系统,并且已经将这些系统暴露到互联网上,为防止自己的系统被滥用于发起DDoS攻击,可通过ACL、防火墙规则或者其他标准的网络访问控制策略机制阻止以UDP/10074端口为目标的入站互联网流量。
Mitel已经提供了补丁软件,可防止将这些服务暴露到互联网上,进而让具备TP-240的MiCollab和MiVoice Business Express协作系统无法被作为DDoS反射器/放大器滥用。Mitel客户应联系供应商以了解补救措施。
可被滥用的TP-240反射器/放大器还会进一步促使网络运营商和/或最终用户从自己网络的“非军事区”或互联网数据中心移除受影响的系统。或者也可以禁用相关的UDP端口转发规则,借此阻止来自互联网的特定UDP/10074流量无法抵达自己的设备,进而防止自己的设备遭到滥用。
这种放大的攻击流量并非碎片化的,因此不像其他UDP反射/放大攻击那样包含由非初始碎片组成的其他攻击组件。
实施入向和出向源地址验证(SAV,也叫做“反欺骗”)即可防止攻击者发起反射/放大DDoS攻击。
九、结论
不幸的是,很多本不应该暴露在公共互联网上的可滥用服务依然在被攻击者大肆利用着。本次事件也证明了不按照供应商提供的指南进行部署可能产生的影响。而供应商可以通过对出厂设备使用“默认即安全”的设置来防止此类情况再度出现。
如果所有网络运营商都实施了入向和出向SAV(或“反欺骗”),那么DDoS攻击的反射/放大根本就无法实现。为发起此类攻击,攻击者必须能够伪造自己预期攻击目标的IP地址。服务提供商必须在自己的网络中持续实施SAV,并要求自己的下游客户也这样做。
和每次新出现的DDoS攻击媒介类似,在一些“先行者”通过自己的攻击行为证明了可行性之后,TP-240反射/放大也经历了“武器化”的过程,并被加入到很多所谓的“DDoS攻击即服务”产品中,这也使得以后会有更多攻击者能够借此发起自己的攻击。