Cloudflare je otkrio da je ublažio rekordan napad distribuiranog uskraćivanja usluge (DDoS) koji je dostigao vrhunac od 3,8 terabita u sekundi (Tbps) i trajao je 65 sekundi.
Kompanija za web infrastrukturu i sigurnost saopštila je da je odbranila “preko sto hipervolumetrijskih L3/4 DDoS napada tokom mjeseca, sa mnogima od preko 2 milijarde paketa u sekundi (Bpps) i 3 terabita u sekundi (Tbps)”.
Hipervolumetrijski L3/4 DDoS napadi traju od početka septembra 2024. godine, napominje se, dodajući da su ciljani na više klijenata u industriji finansijskih usluga, Interneta i telekomunikacija. Aktivnost nije pripisana nijednom konkretnom akteru prijetnje.
Prethodni rekord za najveći volumetrijski DDoS napad dostigao je vršnu propusnost od 3,47 Tbps u novembru 2021. , ciljajući na neimenovanog Microsoft Azure korisnika u Aziji.
Napadi koriste protokol User Datagram Protocol (UDP) na fiksnom portu, sa poplavom paketa koji potiču iz Vijetnama, Rusije, Brazila, Španije i SAD. Oni uključuju kompromitovane MikroTik uređaje, DVR-ove i web servere.
Cloudflare je rekao da napadi visokog bitrate-a vjerovatno potiču od velikog botneta koji se sastoji od zaraženih ASUS kućnih rutera koji se eksploatišu koristeći nedavno otkrivenu kritičnu grešku ( CVE-2024-3080 , CVSS rezultat: 9,8).
Prema statistikama koje je podijelila kompanija za upravljanje površinama napada Censys, nešto više od 157.000 ASUS modela rutera je potencijalno pogođeno ranjivosti od 21. juna 2024. Većina ovih uređaja nalazi se u SAD-u, Hong Kongu i Kini.
Krajnji cilj kampanje, prema Cloudflare-u, je iscrpljivanje propusnog opsega mreže tog cilja, kao i CPU ciklusa, čime se sprečavaju legitimni korisnici da pristupe servisu.
“Da biste se odbranili od napada velike brzine paketa, morate biti u mogućnosti da pregledate i odbacite loše pakete koristeći što je moguće manje CPU ciklusa, ostavljajući dovoljno CPU-a za obradu dobrih paketa”, kažu iz kompanije.
„Mnogi servisi u oblaku nedovoljnog kapaciteta, kao i upotreba lokalne opreme, nisu dovoljni za odbranu od DDoS napada ove veličine, budući da je velika iskorištenost propusnog opsega koja može začepiti internetske veze i zbog velike brzine paketa koja može srušiti ugrađene uređaje.”
Bankarstvo, finansijske usluge i javna komunalna preduzeća su vruća meta DDoS napada, nakon što su doživjeli porast od 55% u posljednje četiri godine, prema kompaniji NETSCOUT za praćenje performansi mreže. Samo u prvoj polovini 2024. zabilježen je porast volumetrijskih napada za 30%.
Porast učestalosti DDoS napada, prvenstveno zbog haktivističkih aktivnosti usmjerenih na globalne organizacije i industrije, također je praćen upotrebom DNS-over-HTTPS (DoH) za komandu i kontrolu (C2) u nastojanju da se otkrije izazovno.
“Trend implementacije distribuirane botnet C2 infrastrukture, koristeći botove kao kontrolne čvorove, dodatno komplikuje napore odbrane jer nije samo ulazna DDoS aktivnost već i izlazna aktivnost sistema zaraženih botovima te koje treba trijažirati i blokirati”, rekao je NETSCOUT .
Razvoj dolazi kada je Akamai otkrio da bi nedavno otkrivene ranjivosti Common UNIX Printing System (CUPS) u Linuxu mogle biti održiv vektor za montiranje DDoS napada sa faktorom pojačanja od 600x u samo nekoliko sekundi.
Analiza kompanije pokazala je da bi više od 58.000 (34%) od otprilike 198.000 uređaja koji su dostupni na javnom internetu moglo biti uključeno za izvođenje DDoS napada.
“Problem nastaje kada napadač pošalje izrađeni paket koji navodi adresu mete kao štampač koji treba dodati”, rekli su istraživači Larry Cashdollar, Kyle Lefton i Chad Seaman .
“Za svaki poslani paket, ranjivi CUPS server će generirati veći i djelomično kontroliran IPP/HTTP zahtjev usmjeren na navedeni cilj. Kao rezultat toga, ne samo da je cilj pogođen, već i host CUPS servera također postaje žrtva, jer napad troši njenu mrežnu širinu i CPU resurse.”
Procjenjuje se da postoji oko 7.171 host koji imaju CUPS usluge izložene preko TCP-a i ranjivi su na CVE-2024-47176, rekao je Censys , nazivajući to potcijenjenim zbog činjenice da se „čini da je više CUPS usluga dostupno preko UDP-a nego TCP-a. “
Organizacijama se savetuje da razmotre uklanjanje CUPS-a ako funkcionalnost štampanja nije neophodna i zatvore zaštitni zid servisnih portova (UDP/631) u slučajevima kada su im dostupni sa šireg interneta.
Izvor:The Hacker News