Cloudflare heeft bekendgemaakt dat het een recordbrekende DDoS-aanval (Distributed Denial-of-Service) heeft weten af te wenden, met een piek van 3,8 terabit per seconde (Tbps) en een duur van 65 seconden.
Het webinfrastructuur- en beveiligingsbedrijf zei dat het “de hele maand meer dan honderd hypervolumetrische L3/4 DDoS-aanvallen heeft afgeweerd, waarvan vele meer dan 2 miljard pakketten per seconde (Bpps) en 3 terabits per seconde (Tbps).”
De hypervolumetrische L3/4 DDoS-aanvallen zijn aan de gang sinds begin september 2024, merkte het rapport op, en voegde eraan toe dat ze zich richtten op meerdere klanten in de financiële dienstverlening, het internet en de telecommunicatie-industrie. De activiteit is niet toegeschreven aan een specifieke dreigingsactoren.
Het vorige record voor de grootste volumetrische DDoS-aanval bereikte een piekdoorvoer van 3,47 Tbps in november 2021, gericht op een niet bij naam genoemde Microsoft Azure-klant in Azië.
De aanvallen maken gebruik van het User Datagram Protocol (UDP)-protocol op een vaste poort, met een stroom aan pakketten afkomstig uit Vietnam, Rusland, Brazilië, Spanje en de VS. Hiertoe behoren gecompromitteerde MikroTik-apparaten, DVR’s en webservers.
Cloudflare zei dat de aanvallen met hoge bitrate waarschijnlijk afkomstig zijn van een groot botnet dat bestaat uit geïnfecteerde ASUS-thuisrouters die worden uitgebuit met behulp van een onlangs onthulde kritieke fout (CVE-2024-3080, CVSS-score: 9,8).
Volgens statistieken gedeeld door Censys, een bedrijf voor aanvalsoppervlaktebeheer, werden op 21 juni 2024 iets meer dan 157.000 ASUS-routermodellen mogelijk getroffen door de kwetsbaarheid. Het merendeel van deze apparaten bevindt zich in de VS, Hong Kong en China.
Het einddoel van de campagne is, volgens Cloudflare, het uitputten van de netwerkbandbreedte en CPU-cycli van dat doelwit, waardoor wordt voorkomen dat legitieme gebruikers toegang krijgen tot de dienst.
“Om je te verdedigen tegen aanvallen met een hoge pakketsnelheid, moet je in staat zijn de slechte pakketten te inspecteren en te verwijderen met zo min mogelijk CPU-cycli, zodat er voldoende CPU overblijft om de goede pakketten te verwerken”, aldus het bedrijf.
“Veel clouddiensten met onvoldoende capaciteit, evenals het gebruik van apparatuur op locatie, zijn niet voldoende om zich te verdedigen tegen DDoS-aanvallen van deze omvang, omdat het hoge bandbreedtegebruik dat internetverbindingen kan verstoppen en vanwege de hoge pakketsnelheid die kunnen inline-apparaten laten crashen.”
Banken, financiële diensten en openbare nutsbedrijven zijn een populair doelwit voor DDoS-aanvallen, aangezien ze de afgelopen vier jaar een piek van 55% hebben doorgemaakt, aldus netwerkprestatiemonitoringbedrijf NETSCOUT. Alleen al in de eerste helft van 2024 is het aantal volumetrische aanvallen met 30% toegenomen.
De toename van de frequentie van DDoS-aanvallen, voornamelijk als gevolg van hacktivistische activiteiten gericht op mondiale organisaties en industrieën, gaat ook gepaard met het gebruik van DNS-over-HTTPS (DoH) voor command-and-control (C2) in een poging om detectie mogelijk te maken. uitdagend.
“De trend van het implementeren van een gedistribueerde botnet C2-infrastructuur, waarbij bots als controleknooppunten worden ingezet, compliceert de verdedigingsinspanningen nog verder, omdat niet alleen de inkomende DDoS-activiteit, maar ook de uitgaande activiteit van met bot geïnfecteerde systemen moet worden onderzocht en geblokkeerd”, aldus NETSCOUT. .
De ontwikkeling komt op het moment dat Akamai onthulde dat de onlangs onthulde kwetsbaarheden in het Common UNIX Printing System (CUPS) in Linux een haalbare vector zouden kunnen zijn voor het opzetten van DDoS-aanvallen met een versterkingsfactor van 600x in slechts enkele seconden.
Uit de analyse van het bedrijf bleek dat meer dan 58.000 (34%) van de ongeveer 198.000 apparaten die toegankelijk zijn op het openbare internet kunnen worden ingezet voor het uitvoeren van DDoS-aanvallen.
“Het probleem doet zich voor wanneer een aanvaller een vervaardigd pakket verzendt waarin het adres van een doel wordt gespecificeerd als een printer die moet worden toegevoegd”, aldus onderzoekers Larry Cashdollar, Kyle Lefton en Chad Seaman.
“Voor elk verzonden pakket genereert de kwetsbare CUPS-server een groter en gedeeltelijk door de aanvaller gecontroleerd IPP/HTTP-verzoek gericht op het opgegeven doel. Als gevolg hiervan wordt niet alleen het doel getroffen, maar wordt de host van de CUPS-server ook een slachtoffer, omdat de aanval de netwerkbandbreedte en CPU-bronnen verbruikt.”
Er wordt geschat dat er ongeveer 7.171 hosts zijn die CUPS-services hebben die via TCP beschikbaar zijn en die kwetsbaar zijn voor CVE-2024-47176, zei Censys, en noemde dit een onderschatting vanwege het feit dat “meer CUPS-services toegankelijk lijken te zijn via UDP dan TCP. “
Organisaties wordt geadviseerd om te overwegen om CUPS te verwijderen als de printfunctionaliteit niet nodig is, en om de servicepoorten (UDP/631) te firewallen in gevallen waarin deze toegankelijk zijn via het bredere internet.
