Cloudflare ha revelado que ha mitigado un ataque de denegación de servicio distribuido (DDoS) récord que alcanzó un máximo de 3,8 terabits por segundo (Tbps) y duró 65 segundos.
La empresa de seguridad e infraestructura web afirmó que rechazó «más de cien ataques DDoS L3/4 hipervolumétricos durante todo el mes, muchos de los cuales superaron los 2 mil millones de paquetes por segundo (Bpps) y los 3 terabits por segundo (Tbps)».
Los ataques DDoS hipervolumétricos de nivel 3/4 se han estado produciendo desde principios de septiembre de 2024, señaló, y agregó que estaban dirigidos a múltiples clientes en las industrias de servicios financieros, Internet y telecomunicaciones. La actividad no se ha atribuido a ningún actor de amenazas específico.
El récord anterior del ataque DDoS volumétrico más grande alcanzó un rendimiento máximo de 3,47 Tbps en noviembre de 2021 , dirigido a un cliente anónimo de Microsoft Azure en Asia.
Los ataques aprovechan el protocolo UDP (Protocolo de datagramas de usuario) en un puerto fijo, y el flujo de paquetes se origina en Vietnam, Rusia, Brasil, España y EE. UU. Estos incluyen dispositivos MikroTik, DVR y servidores web comprometidos.
Cloudflare dijo que los ataques de alta tasa de bits probablemente emanan de una gran botnet que comprende enrutadores domésticos ASUS infectados que se explotan utilizando una falla crítica recientemente revelada ( CVE-2024-3080 , puntaje CVSS: 9.8).
Según las estadísticas compartidas por la empresa de gestión de superficie de ataque Censys, un poco más de 157.000 modelos de enrutadores ASUS se vieron potencialmente afectados por la vulnerabilidad al 21 de junio de 2024. La mayoría de estos dispositivos se encuentran en EE. UU., Hong Kong y China.
El objetivo final de la campaña, según Cloudflare, es agotar el ancho de banda de la red de ese objetivo, así como los ciclos de CPU, evitando así que los usuarios legítimos accedan al servicio.
«Para defenderse de ataques de alta tasa de paquetes, es necesario poder inspeccionar y descartar los paquetes malos utilizando la menor cantidad posible de ciclos de CPU, dejando suficiente CPU para procesar los paquetes buenos», dijo la compañía.
«Muchos servicios en la nube con capacidad insuficiente, así como el uso de equipos locales, no son suficientes para defenderse de ataques DDoS de este tamaño, debido al alto uso de ancho de banda que puede colapsar los enlaces de Internet y debido a la alta tasa de paquetes que puede colapsar los dispositivos en línea».
Los servicios bancarios, financieros y de servicios públicos son un objetivo candente para los ataques DDoS, habiendo experimentado un aumento del 55 % en los últimos cuatro años, según la empresa de monitoreo del rendimiento de la red NETSCOUT. Solo en la primera mitad de 2024, ha habido un aumento del 30 % en los ataques volumétricos.
El aumento en la frecuencia de los ataques DDoS, debido principalmente a actividades de hacktivistas dirigidas a organizaciones e industrias globales, también se ha visto acompañado por el uso de DNS sobre HTTPS (DoH) para comando y control (C2) en un esfuerzo por dificultar la detección.
«La tendencia de implementar una infraestructura C2 de botnet distribuida, aprovechando los bots como nodos de control, complica aún más los esfuerzos de defensa porque no es solo la actividad DDoS entrante sino también la actividad saliente de los sistemas infectados por bots la que necesita ser clasificada y bloqueada», dijo NETSCOUT.
El desarrollo llega luego de que Akamai revelara que las vulnerabilidades recientemente reveladas del Sistema de Impresión Común UNIX (CUPS) en Linux podrían ser un vector viable para montar ataques DDoS con un factor de amplificación de 600x en apenas unos segundos.
El análisis de la compañía encontró que más de 58.000 (34%) de los aproximadamente 198.000 dispositivos accesibles en Internet público podrían ser utilizados para realizar ataques DDoS.
«El problema surge cuando un atacante envía un paquete diseñado específicamente para especificar la dirección de un objetivo como una impresora que debe agregarse», dijeron los investigadores Larry Cashdollar, Kyle Lefton y Chad Seaman .
Nube de llamas
«Por cada paquete enviado, el servidor CUPS vulnerable generará una solicitud IPP/HTTP más grande y parcialmente controlada por el atacante dirigida al objetivo especificado. Como resultado, no solo se ve afectado el objetivo, sino que el host del servidor CUPS también se convierte en víctima, ya que el ataque consume su ancho de banda de red y recursos de CPU».
Se estima que hay alrededor de 7.171 hosts que tienen servicios CUPS expuestos a través de TCP y son vulnerables a CVE-2024-47176, dijo Censys , calificándolo de subestimado debido al hecho de que «parece que hay más servicios CUPS accesibles a través de UDP que de TCP».
Se recomienda a las organizaciones que consideren eliminar CUPS si la función de impresión no es necesaria y proteger con firewall los puertos de servicio (UDP/631) en los casos en que sean accesibles desde Internet.
Fuente y redacción: thehackernews.com
