Los actores de amenazas finalmente comenzaron a usar un método de denegación de servicio distribuido (DDoS) que tiene el potencial de ser cientos de veces más poderoso que los ataques más fuertes registrados.
Los investigadores de ciberseguridad de Akamai publicaron recientemente un informe que detalla el descubrimiento de un ataque DDoS que abusa de los middleboxes, alcanzando 11 Gbps y 1,5 millones de paquetes por segundo.
Decimos "finalmente" porque este tipo de ataque fue teorizado por primera vez hace casi un año por investigadores de seguridad de la Universidad de Maryland y la Universidad de Colorado en Boulder.
Cientos de miles de servidores mal configurados
El artículo de los investigadores señaló que hay un enjambre completo de servidores mal configurados, que suman más de 100 000 puntos finales, que podrían explotarse para amplificar las amenazas de datos utilizadas por los actores de amenazas en sus ataques DDoS.
Estos servidores, también conocidos como middleboxes, generalmente los implementan los estados nacionales y se utilizan para censurar contenido no deseado, bloquear contenido pirateado, pornografía o sitios de apuestas.
La configuración incorrecta es que estos servidores no siguen las especificaciones del Protocolo de control de transmisión que requieren un protocolo de enlace de tres vías antes de establecer una conexión.
Akamai dice que los actores de amenazas ya están apuntando a sitios en las industrias de banca, viajes, juegos, medios y alojamiento web.
La amplificación funciona falsificando la dirección IP del objetivo y rebotando cantidades relativamente pequeñas de datos de un servidor mal configurado que se usa para resolver nombres de dominio, sincronizar relojes de computadora o acelerar el almacenamiento en caché de datos en la base de datos.
Cuando el servidor responde, envía paquetes de datos cientos de veces más grandes, abrumando fácilmente al objetivo falsificado. Según los investigadores, el factor de amplificación oscila entre 54 veces y la asombrosa cifra de 51 000 veces.
Al comentar los hallazgos de Akamai con ArsTechnica, Kevin Bock, el investigador principal detrás del artículo de investigación publicado por la Universidad de Maryland y la Universidad de Colorado en Boulder, dijo que no estaba sorprendido.
“Esperábamos que solo fuera cuestión de tiempo antes de que estos ataques se llevaran a cabo en la naturaleza, ya que son fáciles y muy efectivos. Quizás lo peor de todo es que los ataques son nuevos; por lo tanto, muchos operadores todavía tienen que establecer defensas, lo que lo hace aún más atractivo para los atacantes.
Через: Арс Техника