Cloudflare, saniyede 3,8 terabit (Tbps) seviyesine ulaşan ve 65 saniye süren, rekor kıran dağıtılmış hizmet reddi (DDoS) saldırısını hafiflettiğini açıkladı.
Web altyapısı ve güvenlik şirketi, “ay boyunca yüzden fazla hiper-hacimsel L3/4 DDoS saldırısına, birçoğu saniyede 2 milyar paketi (Bpps) ve saniyede 3 terabit’i (Tbps) aşarak” savuşturduğunu söyledi.
Hiper-hacimsel L3/4 DDoS saldırılarının Eylül 2024’ün başlarından bu yana devam ettiği belirtildi ve bunların finansal hizmetler, İnternet ve telekomünikasyon sektörlerindeki birden fazla müşteriyi hedef aldığı belirtildi. Faaliyet herhangi bir spesifik tehdit aktörüne atfedilmemiştir.
En büyük hacimsel DDoS saldırısına ilişkin bir önceki rekor, Kasım 2021’de Asya’daki isimsiz bir Microsoft Azure müşterisini hedef alarak 3,47 Tbps’lik zirveye ulaşmıştı.
Saldırılar, Vietnam, Rusya, Brezilya, İspanya ve ABD’den gelen paket seli ile sabit bir bağlantı noktasındaki Kullanıcı Datagram Protokolü (UDP) protokolünü kullanıyor. Bunlar arasında ele geçirilen MikroTik cihazları, DVR’ler ve web sunucuları da bulunuyor.
Cloudflare, yüksek bit hızına sahip saldırıların muhtemelen yakın zamanda açıklanan kritik bir kusur (CVE-2024-3080, CVSS puanı: 9,8) kullanılarak istismar edilen virüslü ASUS ev yönlendiricilerinden oluşan büyük bir botnet’ten kaynaklandığını söyledi.
Saldırı yüzeyi yönetimi şirketi Censys tarafından paylaşılan istatistiklere göre, 21 Haziran 2024 itibarıyla 157.000’den biraz fazla ASUS yönlendirici modeli bu güvenlik açığından potansiyel olarak etkilendi. Bu cihazların çoğunluğu ABD, Hong Kong ve Çin’de bulunuyor.
Cloudflare’e göre kampanyanın nihai hedefi, hedefin ağ bant genişliğinin yanı sıra CPU döngülerini de tüketmek ve böylece meşru kullanıcıların hizmete erişmesini engellemektir.
Şirket, “Yüksek paket hızına sahip saldırılara karşı savunma yapmak için, mümkün olduğunca az CPU döngüsü kullanarak kötü paketleri inceleyebilmeniz ve atabilmeniz, böylece iyi paketleri işlemeye yetecek kadar CPU bırakmanız gerekir” dedi.
“Yetersiz kapasiteye sahip birçok bulut hizmeti ve şirket içi ekipman kullanımı, internet bağlantılarını tıkayabilecek yüksek bant genişliği kullanımı ve yüksek paket hızı nedeniyle bu boyuttaki DDoS saldırılarına karşı savunmada yeterli değildir. hat içi cihazların çökmesine neden olabilir.”
Ağ performansı izleme şirketi NETSCOUT’a göre son dört yılda %55’lik bir artış yaşayan bankacılık, finansal hizmetler ve kamu hizmetleri DDoS saldırılarının sıcak hedefleri arasında yer alıyor. Yalnızca 2024’ün ilk yarısında hacimsel saldırılarda %30’luk bir artış yaşandı.
Özellikle küresel kuruluşları ve sektörleri hedef alan hacktivist faaliyetler nedeniyle DDoS saldırılarının sıklığındaki artışa, tespit etme çabası içinde komuta ve kontrol (C2) için DNS-over-HTTPS (DoH) kullanımı da eklendi. zorlu.
NETSCOUT, “Botları kontrol düğümleri olarak kullanarak dağıtılmış bir botnet C2 altyapısı uygulama eğilimi, savunma çabalarını daha da karmaşık hale getiriyor çünkü yalnızca gelen DDoS etkinliği değil, aynı zamanda bot bulaşmış sistemlerin giden etkinliğinin de tetiklenmesi ve engellenmesi gerekiyor.” dedi. .
Bu gelişme, Akamai’nin, yakın zamanda açıklanan Linux’taki Ortak UNIX Yazdırma Sistemi (CUPS) güvenlik açıklarının, yalnızca saniyeler içinde 600x güçlendirme faktörüyle DDoS saldırıları gerçekleştirmek için uygun bir vektör olabileceğini ortaya koymasıyla geldi.
Şirketin analizi, halka açık internet üzerinden erişilebilen yaklaşık 198.000 cihazdan 58.000’den fazlasının (%34) DDoS saldırıları gerçekleştirmek için kullanılabileceğini ortaya çıkardı.
Araştırmacılar Larry Cashdollar, Kyle Lefton ve Chad Seaman, “Sorun, bir saldırganın eklenecek yazıcı olarak hedefin adresini belirten hazırlanmış bir paket göndermesi durumunda ortaya çıkıyor” dedi.
“Gönderilen her paket için, savunmasız CUPS sunucusu, belirtilen hedefe yönelik daha büyük ve kısmen saldırgan tarafından kontrol edilen bir IPP/HTTP isteği oluşturacaktır. Sonuç olarak, yalnızca hedef etkilenmez, aynı zamanda CUPS sunucusunun ana bilgisayarı da bir Saldırı ağ bant genişliğini ve CPU kaynaklarını tükettiği için kurban.”
TCP üzerinden CUPS hizmetlerine maruz kalan ve CVE-2024-47176’ya karşı savunmasız olan yaklaşık 7.171 ana bilgisayarın bulunduğunu tahmin eden Censys, “TCP’den daha fazla CUPS hizmetinin UDP üzerinden erişilebilir göründüğü” gerçeğinden dolayı bunu eksik bir tahmin olarak nitelendirdi. “
Kuruluşların, yazdırma işlevi gerekli değilse CUPS’u kaldırmayı düşünmeleri ve daha geniş internetten erişilebildiği durumlarda hizmet bağlantı noktalarına (UDP/631) güvenlik duvarı oluşturmaları önerilir.