DDoS-атаки теперь используют новый рекордный вектор усиления
В атаках используется новый метод отражения/усиления DDoS, обеспечивающий рекордный коэффициент усиления почти 4,3 миллиарда к 1.
Распределенный отказ в обслуживании (DDoS) атакует целевые серверы или сети с большим количеством запросов и большими объемами данных, стремясь истощить их доступные ресурсы и вызвать перебои в обслуживании.
Коэффициент усиления имеет решающее значение при проведении атак, так как чем выше число, тем легче злоумышленникам подавить хорошо защищенные конечные точки с меньшей огневой мощью.
Чудовищный уровень усиления
Как подробно описано в отчете, который Akamai поделился с Bleeping Computer перед публикацией, новый вектор атаки основан на злоупотреблении небезопасными устройствами, которые служат рефлекторами/усилителями DDoS.Атаки с отражением начинаются с небольшого пакета, отраженного внутри закрытой сети, и его размер увеличивается с каждым отскоком. При достижении возможного верхнего предела полученный объем трафика направляется на цель.
Диаграмма, демонстрирующая DDoS-атаку с усилением (ссылка 11)
Для этого нового метода DDoS злоумышленники злоупотребляют уязвимостью, отслеживаемой как CVE-2022-26143, в драйвере, используемом устройствами Mitel, которые включают интерфейс VoIP TP-240, такими как MiVoice Business Express и MiCollab.
«Злоупотребляемый сервис в уязвимых системах Mitel называется tp240dvr («драйвер TP-240») и работает как программный мост для облегчения взаимодействия с интерфейсными платами обработки VoIP TP-240», — объясняет Akamai в своем отчете об уязвимости.
«Демон прослушивает команды на UDP/10074 и не предназначен для доступа в Интернет, как подтверждает производитель этих устройств. Именно это воздействие Интернета в конечном итоге позволяет злоупотреблять им».
Akamai насчитала 2600 незащищенных устройств Mitel, которые в настоящее время уязвимы для этой уязвимости усиления, в то время как поставщик уже работает над исправлением с клиентами.
Конкретный драйвер содержит команду генерации трафика, предназначенную для стресс-тестирования клиентов, используемую для отладки и тестирования производительности.
Злоупотребляя этой командой, злоумышленники могут генерировать массивный сетевой трафик с этих устройств. К сожалению, это возможно, потому что рискованная команда активирована по умолчанию.
Положительным моментом является то, что связанный демон работает в однопоточном режиме, что предотвращает параллельное использование ресурсов, а из-за ограниченных аппаратных ресурсов на устройствах Mitel вероятность объемных атак имеет относительно низкий верхний предел.
На прошлой неделе компания Akamai раскрыла очень похожий метод DDoS под названием «TCP Middlebox Reflection», который использует уязвимые брандмауэры и системы применения политик фильтрации контента в промежуточных устройствах для достижения коэффициента усиления 65x .
Bleeping Computer