Os cibercriminosos estão explorando uma frota de mais de 100.000 servidores mal configurados para colocar sites offline.
Com informações de Wired.
Em agosto passado, acadêmicos pesquisadores descobriram um novo método potente para derrubar sites offline: uma frota de servidores mal configurados com mais de 100.000 servidores que podem amplificar inundações de dados inúteis para tamanhos antes impensáveis. Esses ataques, em muitos casos, podem resultar em um loop de roteamento infinito que causa uma inundação de tráfego autoperpetuante. Agora, a rede de entrega de conteúdo Akamai diz que os invasores estão explorando os servidores para atingir sites nos setores bancário, de viagens, jogos, mídia e hospedagem na web.
Esses servidores – conhecidos como middleboxes – são implantados por estados-nação como a China para censurar conteúdo restrito e por grandes organizações para bloquear sites que enviam pornografia, jogos de azar e downloads piratas. Os servidores não seguem as especificações do protocolo de controle de transmissão (TCP) que exigem um handshake de três vias — compreendendo um pacote SYN enviado pelo cliente, uma resposta SYN+ACK do servidor e um pacote ACK de confirmação do cliente — antes de uma conexão é estabelecido.
Esse handshake ajuda a evitar que aplicativos baseados em TCP sejam abusados como amplificadores porque a confirmação de ACK deve vir da empresa de jogos ou de outro alvo, em vez de um invasor falsificar o endereço IP do alvo. Mas, dada a necessidade de lidar com roteamento assimétrico, no qual o middlebox pode monitorar os pacotes entregues do cliente, mas não o destino final que está sendo censurado ou bloqueado, muitos desses servidores descartam o requisito por design. Um Arsenal Escondido
Em agosto passado, pesquisadores da Universidade de Maryland e da Universidade do Colorado em Boulder publicaram pesquisas mostrando que havia centenas de milhares de middleboxes que tinham o potencial de entregar alguns dos ataques de DDoS mais incapacitantes já vistos.
Por décadas, as pessoas usaram ataques DDoS para inundar sites com mais tráfego ou solicitações computacionais do que podem lidar, negando serviços a usuários legítimos. Esses ataques são semelhantes à velha brincadeira de direcionar mais chamadas para a pizzaria do que linhas telefônicas para atender.
Para maximizar os danos e conservar os recursos, os agentes de DDoS geralmente aumentam o poder de fogo de seus ataques por meio de vetores de amplificação. A amplificação funciona falsificando o endereço IP do alvo e devolvendo uma quantidade relativamente pequena de dados em um servidor mal configurado usado para resolver nomes de domínio, sincronizar clocks de computador ou acelerar o cache de banco de dados. Como a resposta que os servidores enviam automaticamente é dezenas, centenas ou milhares de vezes maior que a solicitação, ela sobrecarrega o alvo falsificado.
Os pesquisadores disseram que pelo menos 100.000 dos middleboxes que identificaram excederam os fatores de amplificação de servidores DNS (cerca de 54x) e servidores Network Time Protocol (cerca de 556x). Os pesquisadores disseram que identificaram centenas de servidores que amplificaram o tráfego em um multiplicador maior do que servidores mal configurados usando o memcached, um sistema de cache de banco de dados para acelerar sites que podem aumentar o volume de tráfego em surpreendentes 51.000 vezes, um apocalipse.
Os pesquisadores disseram na época que não tinham evidências de ataques de amplificação DDoS de middlebox sendo usados ativamente nas redes, mas esperavam que fosse apenas uma questão de tempo até que isso acontecesse.
Na terça-feira, 01/03, os pesquisadores da Akamai relataram que esse dia chegou. Os pesquisadores da Akamai disseram que detectaram vários ataques DDoS que usaram middleboxes exatamente da maneira que os pesquisadores acadêmicos haviam previsto. Os ataques atingiram um pico de 11 Gbps e 1,5 milhão de pacotes por segundo.
Embora sejam pequenos em comparação com os maiores ataques DDoS , ambas as equipes de pesquisadores esperam que os ataques aumentem à medida que maus atores começam a otimizar seus ataques e identificam mais middleboxes que podem ser abusados (os pesquisadores acadêmicos não divulgaram esses dados para evitar isso de ser mal utilizado).
Kevin Bock, o principal pesquisador por trás do artigo de agosto passado , disse que os atacantes DDoS tinham muitos incentivos para reproduzir os ataques que sua equipe teorizou.
“Infelizmente, não ficamos surpresos”, ele me disse, ao saber dos ataques ativos. “Esperávamos que fosse apenas uma questão de tempo até que esses ataques fossem realizados porque são fáceis e altamente eficazes. Talvez o pior de tudo é que os ataques são novos; como resultado, muitos operadores ainda não possuem defesas, o que o torna muito mais atraente para os invasores.”
Uma das middleboxes recebeu um pacote SYN com uma carga útil de 33 bytes e respondeu com uma resposta de 2.156 bytes. Isso se traduziu em um fator de 65x, mas a amplificação tem potencial para ser muito maior com mais trabalho.
Os pesquisadores da Akamai escreveram:
“Os ataques TCP volumétricos anteriormente exigiam que um invasor tivesse acesso a muitas máquinas e muita largura de banda, normalmente uma arena reservada para máquinas muito robustas com conexões de alta largura de banda e recursos de falsificação de fonte ou botnets. Isso porque até agora não houve um ataque de amplificação significativo para o protocolo TCP; uma pequena quantidade de amplificação foi possível, mas foi considerada quase insignificante, ou no mínimo inferior e ineficaz quando comparada com as alternativas UDP.“
“Se você quisesse casar uma inundação de SYN com um ataque volumétrico, precisaria enviar uma proporção de 1:1 de largura de banda para a vítima, geralmente na forma de pacotes SYN preenchidos. Com a chegada da amplificação do middlebox, essa compreensão de longa data dos ataques TCP não é mais verdadeira. Agora, um invasor precisa de apenas 1/75 (em alguns casos) da quantidade de largura de banda do ponto de vista volumétrico e, devido a peculiaridades com algumas implementações de middlebox, os invasores obtêm uma inundação de SYN, ACK ou PSH + ACK gratuitamente. Tempestades de Pacotes Infinitas e Exaustão Completa de Recursos“
Outro middlebox que a Akamai encontrou, por razões desconhecidas, respondeu aos pacotes SYN com vários pacotes SYN próprios. Os servidores que seguem as especificações TCP nunca devem responder dessa maneira. As respostas do pacote SYN foram carregadas com dados. Pior ainda, o middlebox desconsiderou completamente os pacotes RST enviados da vítima, que deveriam encerrar uma conexão.
Também preocupante é a descoberta da equipe de pesquisa de Bock de que alguns middleboxes responderão quando receberem qualquer pacote adicional, incluindo o RST.
“Isso cria uma tempestade infinita de pacotes”, escreveram os pesquisadores acadêmicos em agosto. “O invasor elicia uma única página de bloqueio para uma vítima, o que causa um RST da vítima, que causa uma nova página de bloqueio do amplificador, que causa um RST da vítima, etc. O caso sustentado pela vítima é especialmente perigoso por duas razões. Primeiro, o comportamento padrão da vítima sustenta o ataque a si mesma. Segundo, esse ataque faz com que a vítima inunde seu próprio uplink enquanto inunda o downlink.”
A Akamai também forneceu uma demonstração mostrando os danos que ocorrem quando um invasor tem como alvo uma porta específica que executa um serviço baseado em TCP.
“Esses pacotes SYN direcionados a um aplicativo/serviço TCP farão com que esse aplicativo tente responder com vários pacotes SYN + ACK e mantenha as sessões TCP abertas, aguardando o restante do handshake de três vias”, explicou Akamai. “Como cada sessão TCP é mantida nesse estado semi-aberto, o sistema consumirá soquetes que, por sua vez, consumirão recursos, potencialmente até o ponto de esgotamento completo dos recursos.”
Infelizmente, não há nada que os usuários finais típicos possam fazer para bloquear a amplificação de DDoS que está sendo explorada. Em vez disso, os operadores de middlebox devem reconfigurar suas máquinas, o que é improvável em muitos casos. Exceto isso, os defensores da rede devem mudar a maneira como filtram e respondem aos pacotes. Tanto a Akamai quanto os pesquisadores acadêmicos fornecem instruções muito mais detalhadas.
Esta história apareceu originalmente em Ars Technica.
