Descripción
En las últimas semanas, los atacantes han estado aprovechando un nuevo tipo de técnica de ataque de denegación de servicios distribuido (DDoS) para atacar sitios web.
La Táctica, que los investigadores llaman TCP middlebox reflection. Fue divulgada por primera ves como un concepto teórico en agosto por la universidad de Maryland y la universidad de colorado Boulder. Los atacantes ahora están utilizando la técnica en un numero “relativamente pequeño” de ataques DDoS del mundo real que abusan de os firewalls vulnerables y los sistemas de filtrado de contenido para lanzar grandes volúmenes de tráfico, con el objetivo final de eliminar sitios web.
USENIX Security '21 - Weaponizing Middleboxes for TCP Reflected Amplification
“El riesgo aquí es que este tipo de ataque puede generar una cantidad significativa de tráfico de ataque que abruma los sistemas y redes objetivo”, dijo Larry Cashdollar, del equipo de respuesta de inteligencia de seguridad de Akamai, que descubrió los ataques recientes. "Esta falla es sorprendentemente fácil de explotar y hay bastantes de estos sistemas vulnerables distribuidos en Internet, por lo que es bastante factible desarrollar ataques cada vez más grandes".
TCP Middlebox Reflection aprovecha un dispositivo en la red llamado middlebox, que monitorea y filtra los flujos de paquetes en tránsito entre dos hosts finales que se comunican. Los investigadores han encontrado previamente que cientos de miles de sistemas de caja intermedia de red no tienen en cuenta los estados de transmisión del Protocolo de control de transmisión (TCP) cuando intentan aplicar políticas de filtrado de contenido. Estos sistemas se han configurado a propósito de esta manera debido en parte a que los estados-nación hacen cumplir las leyes de censura o las políticas de filtrado de contenido empresarial corporativo.
Para los atacantes, este incumplimiento de TCP en los middleboxes de la red prepara el escenario para crear ataques de amplificación reflexiva basados en TCP "altamente efectivos", en los que falsifican las IP de origen de la víctima prevista, lo que hace que los middleboxes dirijan el tráfico de respuesta a la víctima.
“Estas cajas se pueden hacer para responder a paquetes TCP fuera del estado”, dijeron los investigadores. “Estas respuestas a menudo incluyen contenido en sus respuestas destinado a 'secuestrar' los navegadores de los clientes en un intento de evitar que los usuarios accedan al contenido bloqueado. A su vez, los atacantes pueden abusar de esta implementación TCP rota para reflejar el tráfico TCP, incluidos los flujos de datos, a las víctimas de DDoS
"Aunque estos ataques son relativamente pequeños en este momento, muestra que los atacantes están comenzando a darse cuenta de la técnica de ataque de caja intermedia y a aprovecharla como una herramienta más en su arsenal DDoS".
Estos tipos de ataques de reflejo de caja intermedia son nuevos, pero no son únicos, dijeron los investigadores. La verdadera amenaza aquí es que el ataque reduce el nivel de la cantidad de ancho de banda necesario para lanzar ataques DDoS como SYN flood, que tiene como objetivo el proceso utilizado para establecer conexiones de tráfico TCP entre clientes y servidores, lo que implica una solicitud de sincronización inicial (SYN) del servidor. Los atacantes lanzan una sucesión rápida de solicitudes SYN al servidor, pero no brindan la respuesta esperada. Estas conexiones semiabiertas se acumulan en el servidor y eventualmente abruman los recursos.
Si quisiera casar una inundación SYN con un ataque volumétrico, necesitaría enviar una proporción de 1:1 de ancho de banda a la víctima, generalmente en forma de paquetes SYN acolchados", dijeron los investigadores de Akamai. "Con la llegada de amplificación del middlebox, esta comprensión de larga data de los ataques TCP ya no es cierta. Ahora, un atacante necesita tan solo 1/75 (en algunos casos) de la cantidad de ancho de banda desde un punto de vista volumétrico y, debido a las peculiaridades de algunas implementaciones de middlebox, los atacantes obtienen una inundación SYN, ACK o PSH+ACK de forma gratuita.
Los ataques observados también generan una "cantidad bastante decente de tráfico de ataque", que alcanza hasta 11 Gbps a 1,5 millones de paquetes por segundo (Mpps), dijo Cashdollar, aunque no se acerca a los niveles más altos que se han observado anteriormente.
"Si bien no es el más grande con diferencia, nos preocupa que el tamaño del ataque aumente a medida que los atacantes perfeccionen sus métodos", dijo.
Los investigadores dijeron que, si bien los ataques observados que aprovechan esta técnica hasta ahora son pequeños en comparación con otros vectores, parecen estar creciendo en popularidad y tamaño, y predijeron que los atacantes intentarán mejorar y expandir las capacidades del ataque y el impacto general. Sin embargo, debido a que los atacantes han utilizado previamente la inundación SYN durante años, las organizaciones pueden aplicar estrategias de mitigación similares, como usar una combinación de módulos de mitigación contra la suplantación de identidad y fuera del estado y tratar las inundaciones SYN con una longitud superior a 0 bytes como sospechoso, dijeron.
Resumen
· Durante la semana pasada, los investigadores de seguridad de Akamai detectaron y analizaron una serie de ataques de reflexión de TCP, con un máximo de 11 Gbps a 1,5 Mpps, que se dirigieron contra los clientes de Akamai.
· El ataque, amplificado con una técnica llamada TCP Middlebox Reflection, abusa de los firewalls vulnerables y los sistemas de filtrado de contenido para reflejar y amplificar el tráfico TCP a una máquina víctima, creando un poderoso ataque DDoS.
· Los middleboxes van desde censores de estados-nación, como el Gran Cortafuegos de China, hasta sistemas de filtrado de contenido empresarial corporativo, y se pueden encontrar en todo el mundo.
· La novedosa técnica fue presentada en teoría el pasado mes de agosto por investigadores de la Universidad de Maryland y la Universidad de Colorado; sin embargo, esta es la primera vez que lo vemos en vivo y en estado salvaje.
· Este tipo de ataque baja peligrosamente el listón de los ataques DDoS, ya que el atacante necesita tan solo 1/75 (en algunos casos) de la cantidad de ancho de banda desde un punto de vista volumétrico.
· Algunas implementaciones de middlebox permiten a los atacantes agregar inundaciones SYN, ACK o PSH+ACK al ataque, además del ataque TCP volumétrico.
· Se han observado ataques contra organizaciones en las industrias de banca, viajes, juegos, medios y alojamiento web.
· Aunque el tráfico de ataques actual es relativamente pequeño, esperamos que este tipo de ataques crezca en el futuro, debido a la importante amplificación que ofrece al atacante.