DDoS ATAKИТЕ ИЗПОЛЗВАТ НОВ ВЕКТОР НА УСИЛВАНЕ

При атаки се използва нов метод за отразяване/усилване на DDoS, който осигурява рекордно съотношение на усилване от почти 4,3 милиарда към 1.

Разпределеният отказ на услуга (DDoS) атакува целеви сървъри или мрежи с много заявки и големи обеми данни, като целта е да изчерпи наличните им ресурси и да причини прекъсване на услугата. Коефициентът на усилване е от решаващо значение при провеждане на атаки, тъй като колкото по-голям е броят, толкова по-лесно е за заплахите да преодолеят добре защитени крайни точки с по-малко огнева мощ.

Чудовищно ниво на усилване

Както е посочено подробно в доклад, който Akamai публикува, нов вектор на атака разчита на злоупотребата с несигурни устройства, които служат като DDoS отражатели/усилватели. Атаките на отражение започват с малък пакет, отразен в затворена мрежа, докато размерът му се усилва с всяко отскачане. При достигане на възможната горна граница, полученият обем трафик се насочва към целта.

При този нов DDoS метод заплахите злоупотребяват с уязвимост, проследявана като CVE-2022-26143 в драйвер, използван от устройства на Mitel, които включват TP-240 VoIP интерфейс, като MiVoice Business Express и MiCollab.

„Злоупотребената услуга на засегнатите системи на Mitel се нарича tp240dvr („драйвер за TP-240“) и работи като софтуерен мост за улесняване на взаимодействията с интерфейсните карти за обработка на VoIP TP-240“, обяснява Akamai в доклада си за уязвимостта.

„Демонът слуша команди на UDP/10074 и не е предназначен да бъде изложен на интернет, както е потвърдено от производителя на тези устройства. Именно това излагане на интернет в крайна сметка позволява злоупотребата с него.“ Akamai е преброил 2600 открити устройства на Mitel, които в момента са уязвими към този недостатък на усилването, докато доставчикът вече се занимава с отстраняването на проблемите с клиентите.

Конкретният драйвер разполага с команда за генериране на трафик, предназначена за стрес-тест на клиентите, използвана за отстраняване на грешки и тестване на производителността. Чрез злоупотреба с тази команда нападателите могат да генерират масивен мрежов трафик от тези устройства. За съжаление това е възможно, защото рисковата команда е активирана по подразбиране.

Положително е, че свързаният демон работи в режим с една нишка, предотвратявайки паралелен ливъридж и поради ограничените хардуерни ресурси на устройствата на Mitel, потенциалът за обем на атака има относително нисък горен таван. Миналата седмица Akamai разкри много подобен DDoS метод, наречен „TCP Middlebox Reflection“, който използва уязвими защитни стени и системи за прилагане на политиката за филтриране на съдържание в междинните кутии, за да постигне коефициент на усилване от 65x.

Атаки в дивата природа

Първите признаци на атаки, злоупотребяващи с устройства на Mitel, бяха забелязани на 8 януари 2022г., докато първите реални атаки, използващи уязвимия драйвер, започнаха на 18 февруари 2022г. Целите бяха правителства, търговски предприятия, финансови институции, логистични фирми, доставчици на широколентов достъп и други важни организации.

„Наблюдаваните атаки се основават предимно на пакети в секунда или пропускателна способност и изглежда са атаки за отразяване/усилване на UDP, произхождащи от UDP/10074, които са основно насочени към портовете на местоназначение UDP/80 и UDP/443“, уточнява Akamai в своите доклади.

„Най-голямата наблюдавана атака от този тип досега е приблизително 53 милиона пакета в секунда (mpps) и 23 гигабита в секунда (gb/sec). Средният размер на пакета за тази атака беше приблизително 60 байта, с продължителност на атаката от приблизително ~5 минути. Една забележителна разлика на този вектор спрямо повечето методологии за отразяване на UDP е, че той може да издържи продължителни DDoS атаки, които продължават до 14 часа. Когато се оценява от тази гледна точка, коефициентът на усилване на пакета достига 4,294,967,296:1, а трафикът на атаката може да достигне до 400 mpps с продължителен поток от 393mb/sec.

Outlook и защита

През последния месец DDoS атаките стават все по-чести, особено след като Русия нахлу в Украйна.

Още преди инвазията украинските правителствени агенции и банки претърпяха множество DDoS атаки, които свалиха уебсайтовете им с цел да сеят хаос в страната.

Оттогава DDoS атаки се извършват и от ИТ армията на Украйна, атакувайки руските интереси и поддръжниците на Русия, атакуващи украински и западни субекти.

Тъй като DDoS атаките стават толкова широко използвани, от съществено значение е да се опитате да заздравите вашата инфраструктура срещу тези видове атаки, особено при нивата на усилване, наблюдавани в този нов DDoS метод.

Akamai казва, че наблюдението на UDP/10074 трафик и внедряването на системи за активно улавяне на пакети и анализатори за блокиране на атаки, използващи този порт, ще помогне за смекчаване на атаките за отражение/усилване.

Въпреки това, легитимен трафик може да използва този порт, който също ще бъде блокиран.

Най-добрият начин за предотвратяване на този нов DDoS метод е организациите, които използват интерфейса TP-240, да следват инструкциите на Mitel за отстраняване, като налагат правилата на защитната стена, за да блокират злонамерени пакети инициатори или да деактивират злоупотребяваната команда.

Източник: По материали от Интернет

Подобни публикации

30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...

Какво трябва да знаем за сигурността на 5G мреж...

5G променя правилата на играта за мобилната свързаност, включително...
28 май 2023

Computex 2023: всичко, което трябва да знаете з...

Computex 2023 се провежда от 29 май до 2 юни Изложението Computex 2...

С летния сезон фишинг и BEC кампаниите на тема ...

Фишинг кампаниите, насочени към пътуващи, се превърнаха от прости и...
27 май 2023

DarkFrost унищожава гейминг индустрията

Наблюдава се нов ботнет, наречен Dark Frost, който извършва разпред...
Бъдете социални
Още по темата
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
30/05/2023

CosmicEnergy е способен да ...

Руски софтуер, който може да изключва...
27/05/2023

DarkFrost унищожава гейминг...

Наблюдава се нов ботнет, наречен Dark...
Последно добавени
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
30/05/2023

Идва ли Windows 12?

Голямата актуализация на Windows 11 за...
30/05/2023

Нов хакерски форум пусна да...

База данни за известния хакерски форум...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!