Skip to main content
Dark background with blue code overlay

博客

The “PhoneHome” DDoS Attack — Everything You Need to Know

Sven Dummer

Written by

Sven Dummer

March 17, 2022

Sven Dummer 负责领导产品营销工作,帮助企业通过基于云的客户身份和访问管理 (CIAM) 打造更好的客户在线体验。在此之前,Sven 曾在多家硅谷初创公司和财富 500 强企业工作,包括 Yahoo、Wind River(已被 Intel 收购)、SUSE 和 Microsoft,担任过产品开发、产品营销和管理职务。在 Intel,Sven 帮助发布(并且命名)了协作式 Yocto 项目。这是一项开源计划,让用户能够不受硬件架构的束缚,为互联网设备创建基于 Linux 的定制化系统。Sven 的工作地点是旧金山湾区。

 

[ 受到攻击?如需 DDoS 紧急防护服务,请点击 此处 。]

电信公司 Mitel 提供的企业级协作套件 MiCollab 中存在一个漏洞,已有攻击者利用该漏洞发动分布式服务拒绝 (DDoS) 攻击,攻击放大潜力创下新纪录。

情况简述

2022 年 2 月中旬,多方安全研究人员、网络运营商和安全服务供应商观测到 DDoS 攻击激增,攻击目标包括互联网服务提供商、金融机构、物流公司以及其他市场中的各类企业。

Akamai 与信息安全界的其他成员紧密协作,就这些攻击开展了研究,并于 3 月 8 日 发布了一份详尽的分析报告 。这些攻击可以追溯到 Mitel 的 MiCollab 和 MiVoice Business Express(一种高级商用电话系统)产品的硬件组件(TP-240 VoIP 接口卡)。

研究任务小组确定,有大约 2,600 个此类系统的配置给恶意攻击者留下了可乘之机,让他们能通过互联网对其他网络发动 DDoS 攻击。此漏洞名为“TP240PhoneHome”,跟踪编号为 CVE-2022-26143,目前有许多攻击在利用这一漏洞。 

TP240PhoneHome DDoS 攻击为什么值得关注?

TP240PhoneHome 拥有可观的攻击放大潜力,甚至使先前已知的所有 DDoS 攻击都相形见绌。通常情况下,攻击者需要持续不断地向其滥用的服务器发送网络流量,以保持攻击持续进行。但在这种攻击中,攻击者仅需一次性发送少量网络流量,即可发动攻击。其滥用的服务器随后会持续向目标系统发送经过放大的更高流量,旨在导致目标系统因不堪重负而瘫痪,继而拒绝服务,最终造成服务中断。 

业界先前所知最有效的放大技术曾将攻击流量放大 51,000 倍。TP240PhoneHome 再创新高,达到了 40 亿倍,只要向被滥用的服务器发送一个发动攻击的数据包,就能在发给目标网络的攻击流量中生成 4,294,967,296 个网络数据包。随着这些数据包大小的增加,流量放大率可超过 2200 亿倍。

TP240PhoneHome DDoS 攻击有多危险?

简单来说:虽然此漏洞利用攻击的放大效率创下新高,但只要公司具备可靠的 DDoS 防护措施,其风险并不高。而如果公司不具备这样的防护层,这种攻击(以及其他许多 DDoS 攻击)就可能造成系统和应用程序长时间无法访问、无法使用,造成重大损失和严重的业务中断。

TP240PhoneHome 攻击依靠的是配置不当的 Mitel MiCollab 系统,而根据我们的调查结果,在我们开展研究的时候,这种系统大约只有 2,600 个。这制约了整体攻击规模,另外攻击只能依次进行,不能并行发动多项攻击,这也进一步限制了此攻击的影响力。 

Mitel 已得知此问题,并且发布了 安全公告 和相关说明,以缓解此漏洞。系统遭到滥用的 Mitel 客户可能会受到一些附带影响,例如语音通信部分或全部中断,服务性能和功能降级。

Akamai 可如何提供帮助?

使用 Akamai Prolexic(我们的 DDoS 防护解决方案)的客户尽可安心,因为 Prolexic 有能力应对 TP240PhoneHome 这样的放大攻击,为您的网络和服务器抵御攻击流量。Prolexic 可以轻松处理 TP240PhoneHome 的预期流量,我们已经为其更新了专门针对 TP240PhoneHome 的缓解规则。凭借零秒服务水平协议 (SLA),Prolexic 可即时缓解潜在攻击,而且您的系统不会出现明显的服务中断或性能降级。

由于 Akamai Intelligent Edge Platform 的性质,基于该平台的客户 Web 应用程序都能得益于内置 DDoS 防护机制,使用 Kona Site Defender 或通过 Akamai 内容交付网络 (CDN) 解决方案处理流量的客户都能受益于此。我们的平台设计为反向代理,仅接受符合规范的 HTTP(S) 流量。平台将自动丢弃所有网络层 DDoS 攻击流量。Prolexic 应能直接瞄准源站服务器,抵御绕过 Akamai 平台的攻击。

Akamai 如何检测和抵御 DDoS 攻击?

Akamai 拥有大量攻击抵御功能,有能力抵御全球规模极大、复杂度极高的最新 DDoS 攻击媒介。Akamai 运营着全球规模庞大、深受信赖的云端内容交付平台,在 135 个国家/地区拥有接近 365,000 台服务器,我们所观测和分析的网络流量远超其他提供商。Akamai 安全智能响应团队 (SIRT) 与客户、信息安全界其他成员、产品开发、网络运营和我们的安全运营中心紧密协作,识别和缓解威胁媒介,并为业务关键型服务提供最优防护措施。

推荐的 DDoS 防护最佳实践有哪些?

针对 DDoS 风险管控,Akamai 提出了多种最佳实践建议。第一条也是最重要的一条:实施云端 DDoS 修复解决方案,例如 Edge DNS 或 Prolexic。这类解决方案为您提供消耗此类攻击流量的容量,从而有效抵御攻击,取得成功结果。

其次,我们强烈建议公司与一家托管安全服务 (MSS) 提供商开展合作,理想的 MSS 提供商应该具备辨别这些威胁的专业经验与技术实力,能提供抵御计划建议,并能够将这种计划付诸实行,在不造成业务中断的情况下阻止攻击。定期执行威胁验证、风险评估、保证运营就绪性并时刻准备应对攻击很快就会造成内部团队不堪重负,因此选一家实力雄厚的合作伙伴不失为理想方案,专门提供网络安全服务,能够汇集并利用来自诸多客户的威胁情报的网络安全服务提供商可让企业受益无穷。

了解更多

您可以进一步了解 Akamai Managed Security Service。如有疑问,欢迎随时 联系我们



Sven Dummer

Written by

Sven Dummer

March 17, 2022

Sven Dummer 负责领导产品营销工作,帮助企业通过基于云的客户身份和访问管理 (CIAM) 打造更好的客户在线体验。在此之前,Sven 曾在多家硅谷初创公司和财富 500 强企业工作,包括 Yahoo、Wind River(已被 Intel 收购)、SUSE 和 Microsoft,担任过产品开发、产品营销和管理职务。在 Intel,Sven 帮助发布(并且命名)了协作式 Yocto 项目。这是一项开源计划,让用户能够不受硬件架构的束缚,为互联网设备创建基于 Linux 的定制化系统。Sven 的工作地点是旧金山湾区。