黑客利用商业电话系统漏洞发起DDoS攻击

从上月中旬开始，安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增，目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。

经进一步调查，被滥用发动这些攻击的设备是 Mitel 生产的 MiCollab 和 MiVoice Business Express 协作系统，其中包含 TP-240 VoIP 处理接口卡和支持软件；它们的主要功能是为 PBX 系统提供基于互联网的站点到站点语音连接。

这些系统中大约有 2600 个配置不正确，因此未经身份验证的系统测试设施无意中暴露在公共 Internet 中，从而使攻击者可以利用这些 PBX VoIP 网关作为 DDoS 反射器 / 放大器。

Mitel 意识到这些系统被滥用以促进高 pps（每秒数据包数）DDoS 攻击，并一直在积极与客户合作，通过修补软件来修复可滥用设备，这些软件会禁止公众访问系统测试设施。

接下来，研究人员将解释驱动程序是如何被滥用的，并分享推荐的缓解措施。这项研究是由 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、NETSCOUT ASERT、TELUS、Team Cymru 和 Shadowserver Foundation 的一组研究人员合作创建的。

许多不应该暴露在公共互联网上的可滥用服务却被攻击者利用，供应商可以通过在发货前在设备上采用 " 默认安全 " 的设置来防止这种情况。

如果所有网络运营商都实施了入口和出口源地址验证（SAV，也称为反欺骗），则无法发起反射 / 放大 DDoS 攻击。发起此类攻击需要能够欺骗预期攻击目标的 IP 地址。服务提供商必须继续在自己的网络中实施 SAV，并要求其下游客户这样做。

在攻击者使用自定义 DDoS 攻击基础设施的初始阶段之后，TP-240 反射 / 放大似乎已被武器化并添加到所谓的 " booter/stresser" DDoS-for-hire 服务，将其置于一般攻击者的范围内。