新型DDoS攻擊：單包即可發起 最高放大2千億倍

來自Akamai、CuldFLARE、 Lumen Black Lotus Labs、MITEL、NETSCORE、Team CYMRU、TELUS和SimoServer基金會的安全研究人員公開了一種新型拒絕服務攻擊，可以從單個數據包發起，而且放大率超過40億。

攻擊原理

該漏洞名為CVE-2022-26143，存在于大約2600個未正確配置的Mitel MiCollab和MiVoice Business Express系統中，這些系統充當互聯網程控交換機的作用，內含測試模式。問題就出在這個測試模式，可以通過互聯網訪問。

Shadowserver上的一篇博文解釋說：“測試設備可能被濫用，通過單個欺騙攻擊發起數據包，發起持續時間長達14小時的DDoS攻擊，導致創紀錄的數據包放大率達到4294967296:1。”

“這種單包攻擊還可以阻止網絡運營商對偽造的攻擊發起方流量進行回溯，掩蓋生成攻擊流量的基礎設施，與其他UDP反射/放大DDoS攻擊相比，使追蹤攻擊源的難度加大。”

Mitel系統中的驅動程序包含一個命令，該命令對狀態更新數據包執行壓力測試，理論上可以在14小時內以1184字節的最大可能大小生成4294967294個數據包。

“這將導致來自單個反射器/放大器的產生393Mbps以下的持續洪水攻擊，所有這些都是由一個長度僅為1119字節的偽造攻擊發起方數據包造成的。”。

“可以產生幾乎無法想象的2200288816:1的放大率——一個數據包觸發的2200億倍的倍增。”

萬幸的是，Mitel系統一次只能處理一個命令，因此，如果一個系統被用于DDoS，用戶就會發現系統被占用。

第一次觀察到利用該漏洞進行的攻擊是在2月18日，主要針對80和443端口，攻擊目標是ISP、金融機構和物流公司。

解決辦法

除了更新系統，Mitel用戶還可以通過標準的網絡防護工具檢測，阻止UDP端口10074上的非法訪問流量。受攻擊方的建議使用抗D措施。