Los ciberdelincuentes que utilizan grandes cantidades de datos para desconectar sitios están aprovechando un método nunca antes visto que tiene el potencial de aumentar los efectos dañinos de esas inundaciones en una cantidad sin precedentes de 4 mil millones de veces, advirtieron los investigadores el martes.
Al igual que muchos otros tipos de ataques de denegación de servicio distribuidos, los ataques envían una cantidad modesta de datos basura a un servicio de terceros mal configurado de una manera que hace que el servicio redirija una respuesta mucho mayor al objetivo previsto. Los llamados ataques de amplificación DDoS son populares porque reducen los requisitos necesarios para abrumar a sus objetivos. En lugar de tener que reunir grandes cantidades de ancho de banda y poder de cómputo, el DDoSer ubica servidores en Internet que lo harán por ellos.
Se trata de amplificación
Uno de los vectores de amplificación más antiguos son los servidores DNS mal configurados, que aumentan los volúmenes de DDoS unas 54 veces. Las nuevas rutas de amplificación han incluido los servidores Network Time Protocol (alrededor de 556x), los servidores de medios Plex (alrededor de 5x), Microsoft RDP (86x) y el Protocolo ligero de acceso a directorios sin conexión (al menos 50x). La semana pasada, los investigadores describieron un nuevo vector de amplificación que logra un factor de al menos 65.
Anteriormente, el amplificador más grande conocido era Memcached, que tiene el potencial de aumentar el tráfico en una asombrosa cantidad de 51 000 veces.
El participante más nuevo son los sistemas de colaboración Mitel MiCollab y MiVoice Business Express. Los atacantes los han estado utilizando durante el último mes para DDoS a instituciones financieras, empresas de logística, empresas de juegos y organizaciones en otros mercados. Una flota de 2600 servidores está exponiendo una instalación de prueba de sistema abusable en el software a Internet a través del puerto UDP 10074, en una ruptura con las recomendaciones del fabricante de que las pruebas solo sean accesibles internamente.
Los registros DDoS actuales se ubican en aproximadamente 3,47 terabits por segundo para ataques volumétricos y aproximadamente 809 millones de paquetes por segundo para formas de agotamiento. Los DDoS volumétricos funcionan consumiendo todo el ancho de banda disponible, ya sea dentro de la red o el servicio de destino, o interponiéndose entre el objetivo y el resto de Internet. Los DDoS de agotamiento, por el contrario, sobrecargan un servidor.
El nuevo vector de amplificación proporcionado por los servidores Mitel mal configurados tiene el potencial de romper esos récords. El vector puede hacer esto no solo por el potencial de amplificación de 4 mil millones de veces sin precedentes, sino también porque los sistemas Mitel pueden extender los ataques por períodos de tiempo que antes no eran posibles.
“Este vector de ataque en particular difiere de la mayoría de las metodologías de ataque de reflexión/amplificación UDP en que se puede abusar de la instalación de prueba del sistema expuesto para lanzar un ataque DDoS sostenido de hasta 14 horas de duración por medio de un solo paquete de inicio de ataque falsificado, lo que resulta en un relación de amplificación de paquetes récord de 4,294,967,296:1”, escribieron investigadores de ocho organizaciones en un asesoramiento conjunto. “Una prueba controlada de este vector de ataque DDoS arrojó más de 400mpps de tráfico de ataque DDoS sostenido”.
Un solo nodo abusable que genere tanta amplificación a una velocidad de 80 mil paquetes por segundo teóricamente puede entregar la avalancha de datos de 14 horas. Durante ese tiempo, los paquetes de “contador”, que rastrean la cantidad de respuestas que envían los servidores, generarían aproximadamente 95,5 GB de tráfico de ataque amplificado destinado a la red objetivo. Los paquetes separados de “salida de diagnóstico” podrían representar 2,5 TB adicionales de tráfico de ataque dirigido hacia el objetivo.
Un solo paquete es todo lo que se necesita
Los servicios Mitel MiCollab y MiVoice Business Express actúan como puerta de enlace para transferir comunicaciones telefónicas PBX a Internet y viceversa. Los productos incluyen un controlador para tarjetas de interfaz de procesamiento VoIP TP-240. Los clientes pueden usar una función de controlador para probar la capacidad de sus redes de Internet. Mitel instruye a los clientes para que las pruebas estén disponibles solo dentro de redes privadas en lugar de Internet en su conjunto, pero alrededor de 2600 servidores han incumplido esa directiva.
Mitel lanzó el martes actualizaciones de software eso asegurará automáticamente que la función de prueba esté disponible dentro de una red interna.