Akamai alerta para novo tipo de ataque DDoS mais agressivo

Um novo vetor de ataques distribuídos de negação de serviço (DDoS) com uma potencial taxa de amplificação recorde de quase 4,3 bilhões de vezes foi usado por invasores para lançar várias ofensivas de alto impacto. Quanto maior a taxa de amplificação, mais fácil fica sobrecarregar sistemas usando menos pacotes.

De acordo com pesquisadores da Akamai, os ataques foram observados em meados de fevereiro de 2022 e direcionados a provedores de acesso à Internet de banda larga, instituições financeiras, empresas de logística e de jogos e organizações em outros setores de atividade.

Depois de uma análise aprofundada, encontrou-se que os equipamentos usados para lançar os ataques foram sistemas MiCollab e MiVoice Business Express produzidos pela Mitel, que possuem placas de processamento VoIP e software de suporte e cuja principal função é prover conexão de voz para sistemas PBX baseada na Internet. A Mitel está trabalhado com os clientes afetados para corrigir o problema que dava acesso público às instalações de teste dos sistemas.

Segundo a Akamai, embora os picos de tráfego de rede associados ao serviço vulnerável tenham sido observados em 8 de janeiro e 7 de fevereiro, acredita-se que os primeiros ataques reais explorando a vulnerabilidade tenham ocorrido em 18 de fevereiro. Cerca de 2.600 equipamentos Mitel que atuam como gateways de PBX para Internet foram implantados incorretamente com um recurso de teste suscetível aos ataques.

Esse vetor de ataque difere da maioria de outras metodologias ao usar uma instalação de teste para lançar ataques DDoS de modo sustentado por até 14 horas de duração e contando com um único pacote de iniciação de ataque, resultando em uma taxa de amplificação recorde de 4.294.967.296 para 1. Um teste controlado desse vetor rendeu mais de 400 Mpps de tráfego de ataque DDoS sustentado.

Além disso, esse pacote único de iniciação de ataque pode impedir o rastreamento por parte dos operadores de rede, ajudando a mascarar a infraestrutura de geração de tráfego do ataque e tornando menos provável a descoberta da origem do ataque. Já a maioria dos outros vetores DDoS refletidos e de amplificação exige que o invasor transmita continuamente cargas mal-intencionadas de tráfego para nós suscetíveis durante o período que desejar manter o ataque.

Os efeitos colaterais desse novo tipo de ataque aos sistemas Mitel MiCollab e MiVoice Business Express expostos à Internet é a interrupção parcial ou total da comunicação por voz bem como de outros serviços por conta do consumo excessivo da capacidade de tráfego, esgotamento das tabelas de traduções de endereços de rede e de firewalls.

Mais ataques

Nas últimas semanas, pesquisadores da Akamai também começaram a observar campanhas de ataque DDoS contra clientes que incluíam técnicas SYN e altos volumes de tráfego de até 11 Gbps com 1,5 milhão de pacotes por segundo. SYN é uma forma de ataque de negação de serviço em que um invasor inicia rapidamente uma conexão e não a finaliza, consumindo recursos dos servidores desnecessariamente.

Ao examinar os pacotes usados ​​no ataque, a Akamai notou que usavam uma técnica conhecida como TCP Middlebox Reflection, divulgada pela primeira vez como um vetor de ataque totalmente novo em agosto de 2021 em um artigo de autoria de pesquisadores da Universidade de Maryland e da Universidade de Colorado Boulder.

Middlebox é um dispositivo na rede que fica no caminho entre dois hosts em comunicação e pode monitorar, filtrar ou transformar pacotes em trânsito. Ao contrário de dispositivos de rede tradicionais, como roteadores e switches, middleboxes se concentram não apenas nos cabeçalhos dos pacotes, mas também em seus conteúdos. Middleboxes são comumente usadas por países para impor leis de censura ou por políticas corporativas de filtragem de conteúdo.

Já ataques refletivos (reflection attack) enviam ao destinatário uma enxurrada de pacotes falsificando o endereço IP de origem, colocando no lugar o endereço da vítima. Isso fará com que o destinatário acredite ter recebido o pacote da vítima e lhe enviará uma resposta, refletindo os efeitos do ataque e amplificando os estragos.

No caso do método TCP Middlebox Reflection, o alvo específico dos ataques refletivos são as middleboxes. Os pesquisadores mostraram que agentes mal-intencionados podem acionar uma middlebox usando o endereço IP da vítima ao solicitar uma página Web que conhecidamente será filtrada. O middlebox então enviará uma mensagem com essa mesma página de resposta para a vítima.

Em um dos exemplos citados pela Akamai desse tipo de ataque de amplificação, um único pacote SYN com uma carga útil de 33 bytes acionou uma resposta de 2.156 bytes, um fator de amplificação de 65 vezes. Outro caso mostrou que uma única solicitação de um invasor gerou, por motivo desconhecido, um ciclo infinito, pois a middlebox envio a resposta para seu próprio endereço.

Os pesquisadores descobriram que existem centenas de milhares de sistemas middlebox sem a devida configuração e, portanto,  vulneráveis em todo o mundo e que podem ser explorados para fazer ataques do tipo TCP Middlebox Reflection. Esse tipo de ataque reduz perigosamente os obstáculos para investidas DDoS, pois é necessário apenas 1/75 da largura de banda para causar os mesmos estragos em alguns casos, segundo a Akamai. “Encontramos vários erros na configuração das middleboxes que podem levar a uma amplificação tecnicamente infinita dos ataques. Enviando um único pacote, é possível iniciar um fluxo infinito de pacotes contra a vítima”, diz o artigo.

Ações recomendadas

De acordo com a Akamai, os ataques DDoS de reflexão/amplificação TP-240 são originados de UDP/10074 e destinados à porta UDP de escolha do invasor. Esse tráfego de ataque amplificado pode ser detectado, classificado, rastreado e mitigado com segurança usando ferramentas e técnicas de defesa DDoS padrão.  

A telemetria de fluxo e a captura de pacotes por meio de sistemas de análise comercial e de código aberto podem alertar os operadores de rede e os clientes finais sobre os ataques de reflexão/amplificação do TP-240.

Listas de controle de acesso à rede (ACLs), flowspec, blackhole acionado remotamente baseado em destino, blackhole acionado remotamente baseado em fonte e sistemas inteligentes de mitigação de DDoS podem ser usados ​​para mitigar esses ataques. 

As operadoras de rede devem realizar reconhecimento para identificar e facilitar a correção de refletores/amplificadores TP-240 abusivos em suas redes e/ou nas redes de seus clientes. Os operadores dos sistemas de colaboração Mitel MiCollab e MiVoice Business Express devem entrar em contato proativamente com a Mitel para receber instruções específicas de correção do fornecedor.  

É imperativo que as organizações que operam propriedades e/ou infraestrutura da Internet de missão crítica garantam que todos os servidores/serviços/aplicativos/armazenamentos de dados/elementos de infraestrutura estejam protegidos contra ataques DDoS e sejam incluídos em testes periódicos e realistas de mitigação de DDoS da organização plano. Serviços de suporte auxiliares críticos, como servidores DNS autoritativos e recursivos, devem ser incluídos neste plano.

Os operadores de rede devem implementar a validação de endereço de origem de entrada e saída para evitar que invasores iniciem ataques DDoS de reflexão/amplificação.

Usuários de sistemas de colaboração Mitel MiCollab e MiVoice Business Express baseados em TP-240 expostos à Internet podem evitar o abuso de seus sistemas para lançar ataques DDoS bloqueando o tráfego de entrada da Internet destinado a UDP/10074 por meio de ACLs, regras de firewall e outros controles de acesso à rede padrão mecanismos de aplicação de políticas.

A Mitel forneceu versões de software corrigidas que impedem que os sistemas de colaboração MiCollab e MiVoice Business Express equipados com TP-240 sejam usados ​​como refletores/amplificadores de DDoS, evitando a exposição do serviço à Internet. Os clientes da Mitel devem entrar em contato com o fornecedor para obter instruções de correção.

O impacto colateral em refletores/amplificadores TP-240 abusivos pode alertar operadores de rede e/ou clientes finais para remover sistemas afetados de redes de “zona desmilitarizada” ou centros de dados da Internet ou para desabilitar regras relevantes de encaminhamento de porta UDP que permitem a origem de tráfego UDP/10074 específico da Internet pública para chegar a esses dispositivos, evitando assim que eles sejam abusados ​​para lançar ataques DDoS de reflexão/amplificação.

O tráfego de ataque amplificado não é fragmentado, portanto, não há componente de ataque adicional consistindo em fragmentos não iniciais, como é o caso de muitos outros vetores DDoS de reflexão/amplificação de UDP.

A implementação da validação de endereço de origem de entrada e saída (SAV; também conhecida como anti-spoofing) pode impedir que invasores lancem ataques DDoS de reflexão/amplificação.

Infelizmente, muitos serviços passíveis de abuso que não deveriam ser expostos à Internet pública são, no entanto, deixados abertos para os invasores explorarem. Esse cenário é mais um exemplo de implantações do mundo real que não seguem as orientações do fornecedor. Os fornecedores podem evitar essa situação adotando posturas “seguras por padrão” nos dispositivos antes do envio.

Seria impossível lançar ataques DDoS de reflexão/amplificação se todos os operadores de rede implementassem SAV de entrada e saída (ou anti-spoofing). A capacidade de falsificar o(s) endereço(s) IP do(s) alvo(s) de ataque pretendido(s) é necessária para iniciar tais ataques. Os provedores de serviços devem continuar a implementar o SAV em suas próprias redes e exigir que seus clientes downstream também o façam.

Como é rotineiramente o caso com vetores de ataque DDoS mais recentes, parece que após um período inicial de emprego por invasores avançados com acesso à infraestrutura de ataque DDoS sob medida, a reflexão/amplificação do TP-240 foi armada e adicionada aos arsenais dos chamados “ booter/stresser” DDoS-for-hire, colocando-o ao alcance da população de invasores em geral.

A colaboração entre as comunidades operacional, de pesquisa e de fornecedores é fundamental para a viabilidade contínua da Internet. A resposta rápida e a correção contínua desse vetor de ataque DDoS de alto impacto só foi possível como resultado dessa colaboração. As organizações com interesse na estabilidade e resiliência da Internet devem adotar e apoiar os esforços cooperativos entre setores como um princípio fundamental.

Os esforços combinados da força-tarefa de pesquisa e mitigação demonstram que a colaboração bem-sucedida entre os pares do setor para remediar rapidamente as ameaças à disponibilidade e resiliência não é apenas possível, mas também é cada vez mais crítica para a viabilidade contínua da Internet global.