Yeni bir yansıma / amplifikasyon DDOS yöntemi, yaklaşık 4.3 milyar ila 1'e kadar kayıt kırma amplifikasyon oranı sağlayan saldırılarda kullanılıyor.
Dağıtılmış Hizmet Reddi (DDOS), mevcut kaynaklarını tüketmeyi ve bir hizmet kesintisine neden olmayı hedefleyen birçok istek ve yüksek hacim veri içeren hedef sunuculara veya ağlara saldırır.
Amplifikasyon oranı, saldırı yaparken kritiktir, numara ne kadar yüksek olursa, tehdit aktörlerinin daha az ateş sahibi ile iyi korunan son noktaları ezmeleri için daha kolaydır.
Akanai'nin yayınlanmadan önce Bleeping bilgisayarıyla paylaştığı bir raporda olduğu gibi, yeni bir saldırı vektörü, DDOS reflektörleri / amplifikatörler olarak hizmet veren güvensiz cihazların kötüye kullanılmasına dayanır.
Yansıma saldırıları, kapalı bir ağın içine yansıtılan küçük bir paketle başlarken, boyutu her sıçrama ile büyütülür. Olası üst sınıra ulaşırken, ortaya çıkan trafik hacmi hedefe yönlendirilir.
Bu yeni DDOS yöntemi için, tehdit aktörleri, MIVOice Business Express ve Micollab gibi TP-240 VoIP arayüzünü içeren Mitel cihazları tarafından kullanılan bir sürücüde CVE-2022-26143 olarak izlenen bir güvenlik açığını kötüye kullanıyor.
Akamai, "Etkilenen Mitel sistemlerinde etkilenen Mitel sistemlerinde TP240DVR (" TP-240 Sürücü "olarak adlandırılır ve bir yazılım köprüsü olarak çalıştırılır" dedi.
"Daemon, UDP / 10074'teki komutları dinler ve bu cihazların üreticisi tarafından onaylandığı gibi İnternete maruz kalması anlamına gelmez. İnternete nihayetinde suiistimal etmesine izin veren internete maruz kalma. "
Akamai, şu anda bu amplifikasyon kusuruna açık olan 2,600 maruz Mitel cihazı saydı, satıcı zaten müşterilerle birlikte iyileştirmeyi kullanıyor.
Belirli bir sürücü, hata ayıklama ve performans testi için kullanılan müşterileri stres test etmek için tasarlanmış bir trafik üretimi komutuna sahiptir.
Bu komutu kötüye kullanırken, saldırganlar bu cihazlardan büyük ağ trafiği oluşturabilirler. Ne yazık ki, bu mümkündür, çünkü riskli komut varsayılan olarak etkinleştirilir.
Olumlu bir notta, ilişkili arka daemon, paralel kaldıraçtan korunmasını önleyen ve Mitel cihazlarındaki sınırlı donanım kaynakları nedeniyle, saldırı hacminin potansiyeli nispeten düşük bir üst tavana sahiptir.
Geçen hafta, Akamai, "TCP MiddleBox Yansıması" adlı "TCP MiddleBox Yansıması" adı verilen, 65x amplifikasyon faktörü elde etmek için Middlebook'taki güvenlik açığı güvenlik duvarları ve içerik filtreleme politika uygulamalarını kullanan benzer bir DDOS yöntemini açıkladı.
Mitel cihazlarını kötüye kullanan saldırıların ilk belirtileri, 8 Ocak 2022'de fark edildi, ilkel saldırılar 18 Şubat 2022'de başladı.
Hedefler hükümetler, ticari işletmeler, finansal kurumlar, lojistik firmalar, genişbant erişim ISS'leri ve diğer önemli organizasyonlardı.
"Gözlemlenen saldırılar, öncelikle saniyede paketler üzerine önceden belirlenmiştir ya da verimliydi ve UDP / 10074'ten kaynaklanan UDP / 10074'ten kaynaklanan UDP / 10074'ten kaynaklanan UDP / 10074'ten kaynaklanan UDP yansıması / amplifikasyon saldırıları gibi görünüyordu. rapor.
"Bu türün bugüne kadar en büyük gözlenen tek saldırı, saniyede yaklaşık 53 milyon paket (MPP'ler) ve 23 gigabits-perseği (GB / sn) idi. Bu saldırının ortalama paket boyutu yaklaşık 60 baytdı, yaklaşık olarak ~ 5 dakikalık bir saldırı süresi vardı. "
Bu vektörün çoğu UDP yansıması metodolojisine karşı dikkate değer bir farkı, 14 saate kadar süren uzun DDOS saldırılarını sürdürebilmesidir.
Bu perspektiften değerlendirildiğinde, paket amplifikasyon oranı 4,294,967,296: 1'e ulaşır ve saldırı trafiği, 393 MB / sn'nin sürekli bir sele sahip 400 MPP'ye kadar çıkabilir.
Geçtiğimiz ay boyunca, DDOS saldırıları, özellikle Rusya Ukrayna'yı istila ettiğinden beri giderek daha yaygınlaştı.
İstila öncesi bile, Ukraynalı devlet kurumları ve bankaları, ülke içinde kaos ekiminin amacı ile web sitelerini düşüren çok sayıda DDOS saldırısı geçirdi.
O zamandan beri, Ukrayna'nın BT ordusu tarafından Rusya'nın çıkarlarına ve Ukrayna ve Batı varlıklarına saldıran Rusya'nın çıkarlarına ve destekçilerine saldıran DDOS saldırıları yapıldı.
DDOS saldırıları bu kadar yaygın hale geliyorken, özellikle bu tür saldırılara karşı altyapınızı, özellikle bu yeni DDOS yönteminde görülen amplifikasyon seviyelerinde denemek ve sertleştirmek önemlidir.
Akamai, UDP / 10074 trafiğini izlemenin ve aktif paket yakalama ve analist sistemlerinin bu portu kullanan saldırıları engellemeye yardımcı olacağını söylüyor.
Bununla birlikte, meşru trafik, bu bağlantı noktasını da engelleyecek şekilde kullanıyor olabilir.
Bu yeni DDOS yöntemini önlemenin en iyi yolu, MITEL'in iyileştirme talimatlarını takip etmek için TP-240 arayüzünü kullanan kuruluşlar için, kötü amaçlı başlatıcı paketleri engellemek veya istismar eden komutu devre dışı bırakmak için güvenlik duvarı kurallarını uygulamak için.
APC UPS sıfır gün böcekleri uzaktan aygıtları yanıp sönebilir, gücü devre dışı bırakabilir
Android Mart 2022 Güvenlik Güncellemeleri Üç kritik hatayı düzelt
Microsoft Mart 2022 Yama Salı Düzeltmeler 71 Kusurlar, 3 Sıfır Gün
HP Yamalar 16 UEFI Ürün Yazılımı Hatası Gizli Kötü Amaçlı Yazılım Enfeksiyonlarına İzin Veriyor
Google: Rusya, Çin, Beyaz Rusya Devlet Hackerları Hedef Ukrayna, Avrupa
Kaynak: Bleeping Computer