통신회사인 Mitel사의 협업시스템인 MiCollab의 취약성이 기록적인 증폭 가능성이 있는 분산 서비스 거부 공격에 악용되었습니다. 2022년 2월 중순, 보안 연구원, 네트워크 운영자 및 보안 벤더는 인터넷 서비스 제공자, 금융 기관, 물류 회사 및 기타 시장의 다양한 조직을 대상으로 DDoS 공격이 급증하는 것을 관찰되었습니다.
Akamai는 인포섹 커뮤니티의 다른 구성원들과 협력하여 공격을 연구하고 3월 8일 상세 분석을 발표했습니다. 공격은 미텔의 미콜라브 및 고급 비즈니스 전화 시스템인 Mivoice Business Express 제품의 일부인 하드웨어 구성 요소(TP-240 VoIP 인터페이스 카드)의 취약성을 악용하였습니다. 연구진들은 이러한 시스템 중 약 2,600개가 악의적인 행위자가 인터넷을 통해 다른 네트워크에 대한 DDoS 공격을 시작하기 위해 이를 악용할 수 있는 방식으로 구성되었다고 판단했습니다. 이를 "TP240PhoneHome"으로 명명하고 CVE-2022-26143으로 취약성을 발표하였습니다.
P240PhoneHome DDos공격이 다른 DDos증폭 공격과 다른 점은??
TP240PhoneHome은 이전에 알려진 모든 DDoS 공격보다 큰 증폭이 일어납니다. 일반적으로 악의적인 행위자는 공격을 유지하기 위해 악용된 서버로 네트워크 트래픽 스트림을 유지해야 합니다. 이 공격에서 악의적인 행위자는 공격을 시작하기 위해 한 번만 소량의 네트워크 트래픽을 전송하면 됩니다. 악용된 서버는 목표를 달성하기 위해 더 많은 양의 트래픽을 지속적으로 전송하여 서비스 중단을 유발합니다.
이전에 알려진 가장 큰 Amplifier는 공격 트래픽을 51,000배 증가시킬 수 있었습니다. TP240PhoneHome은 이 기록을 40억 이상으로 올립니다. 악용된 서버로 전송되는 단일 공격 개시 패킷에 대해 4,294,967,296개의 놀라운 공격 트래픽 패킷이 생성되어 대상 네트워크로 전송됩니다. 이러한 패킷의 크기가 증가함에 따라 트래픽이 2,200억 퍼센트 이상 증폭됩니다.
TP240 Phone Home DDoS 공격의 위험성
기록적인 증폭 효율성에도 불구하고 견고한 DDoS 보호 조치를 시행 중인 기업의 경우 이 악용으로 인한 위험이 낮습니다. 이러한 보호 계층이 없는 기업의 경우 이러한 공격으로 인해 시스템과 애플리케이션에 연결할 수 없고 장기간 사용할 수 없게 됨으로써 심각한 손상과 비즈니스 중단이 발생할 수 있습니다.
TP240 PhoneHome 공격은 잘못 구성된 Mitel MiCollab 시스템에 의존하며, 연구 결과에 따르면 연구 당시 약 2,600대의 시스템만이 존재했습니다. 이는 전체적인 볼륨을 제한하며, 공격은 직렬로만 실행될 수 있지만 병렬로 실행될 수 없기 때문에 추가적인 제한이 발생합니다.
Mitel은 이 문제에 대한 정보를 제공받았으며, 동시에 취약성을 제거하기 위한 보안 권고 및 지침을 발표했습니다. 시스템이 악용되는 Mitel 고객은 음성 통신의 부분적 또는 완전한 중단, 성능 및 기능 저하와 같은 부수적인 영향을 받을 수 있습니다.
조치 방법
TP240PhoneHome 공격은 UDP10074에서 발생하며 공격자가 선택한 UDP포트로 향합니다. 이 증폭 공격은 DDOS 방어 시스템에서 탐지 분류, 추적이 가능합니다. 또한 오픈 소스 및 상용 분석 시스템을 통한 흐름 원격 측정 및 패킷 캡처는 네트워크 운영자와 최종 고객에게 TP240PhoneHome 공격을 경고할 수 있습니다.
네트워크 ACL(액세스 제어 목록), flowspec, 대상 기반 원격 트리거 블랙홀(D/RTBH), 소스 기반 원격 트리거 블랙홀(S/RTBH) 및 지능형 DDoS 완화 시스템을 사용하여 이러한 공격을 완화할 수 있습니다.
비즈니스에 중요한 공용 인터넷 자산을 보유한 조직은 필요한 IP 프로토콜 및 포트를 통한 인터넷 트래픽만 허용하는 상황별 네트워크 액세스 정책을 포함하여 모든 관련 네트워크 인프라, 아키텍처 및 운영 BCP(Best Current Practices)가 구현되었는지 확인해야 합니다.
내부 조직 직원과의 인터넷 액세스 네트워크 트래픽은 공용 인터넷 자산과의 인터넷 트래픽에서 격리되어야 하며 별도의 업스트림 인터넷 전송 링크를 통해 서비스를 제공해야 합니다.
모든 공개 인터넷 자산 및 지원 인프라에 대한 DDoS 방어는 조직의 서버/서비스/애플리케이션에 대한 모든 변경 사항이 DDoS 방어 계획에 통합되도록 하기 위한 주기적인 테스트를 포함하여 상황에 따라 적절한 방식으로 구현되어야 합니다 .
인프라를 운영하는 조직은 모든 서버/서비스/애플리케이션/데이터 저장소/인프라 요소가 DDoS 공격으로부터 보호되고 조직의 DDoS 완화에 대한 정기적이고 현실적인 테스트에 포함되도록 해야 합니다.
또한 신뢰할 수 있는 재귀 DNS 서버와 같은 중요한 보조 지원 서비스가 이 계획에 포함되어야 합니다. 네트워크 운영자는 공격자가 반사/증폭 DDoS 공격을 시작하지 못하도록 수신 및 송신 소스 주소 검증을 구현해야 할 것입니다.