Σχεδόν μετά από τρεις μήνες, ερευνητές από το Edinburgh Napier University δημοσίευσαν μια μελέτη σχετικά με το πώς γίνεται να πραγματοποιηθούν reflection DDoS επιθέσεις με την κατάχρηση TFTP εξυπηρετητών. Τώρα, η Akamai προειδοποιεί για επιθέσεις στην πραγματική ζωή.
Η Akamai SIRT, η ομάδα ασφαλείας της εταιρείας, λέει ότι οι μηχανικοί της εντόπισαν τουλάχιστον δέκα DDoS επιθέσεις από τις 20 Απριλίου 2016. Κατά το συγκεκριμένο διάστημα, οι απατεώνες καταχράστηκαν TFTP εξυπηρετητές που ήταν εκτεθειμένοι στο Διαδίκτυο ώστε να αντικατοπτρίσουν την κυκλοφορία και να τη στείλουν δεκαπλά προς τους στόχους τους, σε μια τακτική που ονομάζεται “reflection” (ή “amplification“) DDoS επίθεση.
Οι απατεώνες έστειλαν ένα μικρό αριθμό πακέτων σε TFTP διακομιστές, τα οποία περιείχαν διάφορα προβλήματα στην εφαρμογή του πρωτοκόλλου και στη συνέχεια, τα έστειλαν πίσω πολλαπλασιασμένα στους στόχους τους. Ο συντελεστής πολλαπλασιασμού για τις TFTP επιθέσεις DDoS είναι 60, αρκετά πάνω από τον κανονικό μέσο όρο των reflection DDoS επιθέσεων, ο οποίος είναι μεταξύ 2 και 10.
Η Akamai λέει ότι οι επιθέσεις αυτές που ανιχνεύθηκαν να χρησιμοποιούν TFTP διακομιστές ήταν μέρος multi-vector DDoS επιθέσεων, κατά των οποίων ο απατεώνες «έμπλεξαν» διαφορετικά DDoS ευάλωτα πρωτόκολλα μαζί, ώστε να μπερδέψουν το ΙΤ τμήμα του στόχου τους και να κάνουν πιο δύσκολο το πρόβλημα να μετριαστεί.
Επειδή η επίθεση δεν ήταν ξεκάθαρη, ποτέ δεν έφτασε σε τεράστιες στατιστικές μετρήσεις. Η Akamai αναφέρει ότι το εύρος ζώνης ήταν 1,2 Gbps και το peak του όγκου των πακέτων ήταν 176.400 πακέτα ανά δευτερόλεπτο. Οι τιμές αυτές θεωρούνται χαμηλές για επιθέσεις DDoS, αλλά αρκετές για να καταναλώνουν το εύρος ζώνης του στόχου.
Η Akamai SIRT λέει ότι έχει δει μια weaponized έκδοση του TFTP attack script να κυκλοφορεί online, μόλις η μελέτη του Napier University κυκλοφόρησε.
Το σενάριο επίθεσης είναι απλό και δέχεται τιμές εισόδου από το χρήστη, όπως την IP του θύματος, την πόρτα της επίθεσης, μια λίστα διευθύνσεων IP από ευάλωτους εξυπηρετητές TFTP που έχουν πρόσβαση στο Internet, το όριο του ρυθμού των πακέτων ανά δευτερόλεπτο, τον αριθμό των threads και το χρόνο που πρέπει να τρέχει το script.
Στις επιθέσεις που ανιχνεύθηκαν, η Akamai λέει ότι οι απατεώνες δεν όρισαν την επιτιθέμενη πόρτα και το script τους έστελνε την κυκλοφορία σε τυχαίες θύρες στον server του στόχου.
Τον περασμένο Μάρτιο, οι ερευνητές του Napier University είπαν ότι έχουν βρεθεί πάνω από 599.600 ανοιχτοί στο κοινό διακομιστές που είχαν τη θύρα 69 (TFTP) ανοικτή.
Η Akamai προειδοποιεί τους οργανισμούς να ασφαλίσουν τους TFTP διακομιστές τους τοποθετώντας αυτούς τους servers πίσω από firewall. Δεδομένου ότι το 25χρονο πρωτόκολλο TFTP δεν υποστηρίζει σύγχρονες μεθόδους ελέγχου ταυτότητας, δεν υπάρχει κανένας καλός λόγος για να έχουν αυτά τα είδη των servers εκτεθειμένα στο Internet.
