A Cloudflare divulgou que mitigou um ataque recorde de negação de serviço distribuído (DDoS) que atingiu o pico de 3,8 terabits por segundo (Tbps) e durou 65 segundos.
A empresa de infraestrutura e segurança da internet disse que evitou “mais de cem ataques DDoS L3/4 hipervolumétricos ao longo do mês, com muitos excedendo 2 bilhões de pacotes por segundo (Bpps) e 3 terabits por segundo (Tbps)”.
Os ataques DDoS hipervolumétricos L3/4 estão em curso desde o início de setembro de 2024, observou, acrescentando que visavam vários clientes nos setores de serviços financeiros, Web e telecomunicações. A atividade não foi atribuída a nenhum ator de ameaça específico.
O recorde anterior para o maior ataque DDoS volumétrico atingiu um pico de rendimento de 3,47 Tbps em novembro de 2021, visando um cliente não identificado do Microsoft Azure na Ásia.
Os ataques aproveitam o protocolo Consumer Datagram Protocol (UDP) em uma porta fixa, com a inundação de pacotes originados do Vietnã, Rússia, Brasil, Espanha e EUA. Isso inclui dispositivos MikroTik, DVRs e servidores internet comprometidos.
Cloudflare disse que os ataques de alta taxa de bits provavelmente emanam de uma grande botnet composta por roteadores domésticos ASUS infectados que são explorados usando uma falha crítica recentemente divulgada (CVE-2024-3080, pontuação CVSS: 9,8).
De acordo com estatísticas compartilhadas pela empresa de gerenciamento de superfície de ataque Censys, pouco mais de 157.000 modelos de roteadores ASUS foram potencialmente afetados pela vulnerabilidade em 21 de junho de 2024. A maioria desses dispositivos está localizada nos EUA, Hong Kong e China.
O objetivo remaining da campanha, de acordo com a Cloudflare, é esgotar a largura de banda da rede desse alvo, bem como os ciclos de CPU, evitando assim que usuários legítimos acessem o serviço.
“Para se defender contra ataques de alta taxa de pacotes, você precisa ser capaz de inspecionar e descartar os pacotes ruins usando o menor número possível de ciclos de CPU, deixando CPU suficiente para processar os pacotes bons”, disse a empresa.
“Muitos serviços em nuvem com capacidade insuficiente, bem como a utilização de equipamentos locais, não são suficientes para a defesa contra ataques DDoS deste porte, uma vez que a elevada utilização de largura de banda que pode obstruir os hyperlinks de Web e devido à alta taxa de pacotes que pode travar aparelhos em linha.”
Bancos, serviços financeiros e serviços públicos são alvos importantes de ataques DDoS, tendo experimentado um aumento de 55% nos últimos quatro anos, de acordo com a empresa de monitoramento de desempenho de rede NETSCOUT. Só no primeiro semestre de 2024, houve um aumento de 30% nos ataques volumétricos.
O aumento na frequência de ataques DDoS, principalmente devido a atividades hacktivistas direcionadas a organizações e indústrias globais, também foi acompanhado pelo uso de DNS sobre HTTPS (DoH) para comando e controle (C2) em um esforço para tornar a detecção desafiante.
“A tendência de implementar uma infraestrutura distribuída de botnet C2, aproveitando bots como nós de controle, complica ainda mais os esforços de defesa porque não é apenas a atividade DDoS de entrada, mas também a atividade de saída de sistemas infectados por bots que precisam ser triados e bloqueados”, disse NETSCOUT. .
O desenvolvimento ocorre no momento em que a Akamai revela que as vulnerabilidades recentemente divulgadas do Widespread UNIX Printing System (CUPS) no Linux podem ser um vetor viável para a montagem de ataques DDoS com um fator de amplificação de 600x em poucos segundos.
A análise da empresa descobriu que mais de 58 mil (34%) dos cerca de 198 mil dispositivos acessíveis na Web pública poderiam ser alistados para conduzir ataques DDoS.
“O problema surge quando um invasor envia um pacote elaborado especificando o endereço de um alvo como uma impressora a ser adicionada”, disseram os pesquisadores Larry Cashdollar, Kyle Lefton e Chad Seaman.
“Para cada pacote enviado, o servidor CUPS vulnerável gerará uma solicitação IPP/HTTP maior e parcialmente controlada pelo invasor, direcionada ao alvo especificado. Como resultado, não apenas o alvo é afetado, mas o host do servidor CUPS também se torna um vítima, pois o ataque consome a largura de banda da rede e os recursos da CPU.”
Estima-se que existam cerca de 7.171 hosts que têm serviços CUPS expostos através de TCP e são vulneráveis ao CVE-2024-47176, disse Censys, chamando-o de uma subestimativa devido ao fato de que “mais serviços CUPS parecem estar acessíveis através de UDP do que TCP. “
As organizações são aconselhadas a considerar a remoção do CUPS se a funcionalidade de impressão não for necessária e a proteger as portas de serviço (UDP/631) nos casos em que sejam acessíveis a partir da Web mais ampla.