Κάποιοι χειριστές botnet κάνουν κατάχρηση των VPN servers από τον παροχέα VPN Powerhouse Management ως τρόπο αναπήδησης και ενίσχυσης ανεπιθύμητου traffic μέρους των επιθέσεων DDoS.
Αυτός ο νέος φορέας DDoS έχει ανακαλυφθεί και τεκμηριωθεί από έναν ερευνητή ασφαλείας που κυκλοφορεί στο διαδίκτυο ως Phenomite, ο οποίος μοιράστηκε τα ευρήματα του με το ZDNet την περασμένη εβδομάδα.
Ο ερευνητής είπε ότι η βασική αιτία αυτού του νέου διανύσματος DDoS είναι μια υπηρεσία (που δεν έχει ακόμη εντοπιστεί) που εκτελείται στη θύρα UDP 20811 σε servers Powerhouse VPN.
Ο Phenomite λέει ότι οι εισβολείς μπορούν να “κάνουν ping” σε αυτήν τη θύρα με ένα αίτημα one-byte και η υπηρεσία θα ανταποκρίνεται συχνά με πακέτα που έχουν μέγεθος έως και 40 φορές το αρχικό πακέτο.
Δεδομένου ότι αυτά τα πακέτα βασίζονται σε UDP, μπορούν επίσης να τροποποιηθούν ώστε να περιέχουν λανθασμένη IP επιστροφής. Αυτό σημαίνει ότι ένας εισβολέας μπορεί να στείλει ένα πακέτο UDP ενός byte σε έναν server Powerhouse VPN, ο οποίος στη συνέχεια το ενισχύει και το στέλνει στη διεύθυνση IP ενός θύματος μιας επίθεσης DDoS – δηλαδή αυτό που οι ερευνητές ασφαλείας αποκαλούν ως reflected/amplified επίθεση DDoS.
Τόσο ο Phenomite όσο και το ZDNet έχουν επικοινωνήσει με το Management της Powerhouse για να ενημερώσουν την εταιρεία σχετικά με τη συμπεριφορά των προϊόντων της, επιδιώκοντας να διασφαλίσουν ότι θα αναπτυχθεί μια ενημερωμένη έκδοση κώδικα στους servers της που θα αποτρέψει την κατάχρηση της υποδομής VPN της σε μελλοντικές επιθέσεις DDoS.
Ωστόσο, η εταιρεία δεν έχει απαντήσει στα σχετικά αιτήματα.
Επιπλέον, μάθαμε επίσης σήμερα ότι οι απειλητικοί παράγοντες έχουν επίσης ανακαλύψει αυτόν τον φορέα επίθεσης DDoS, τον οποίο έχουν ήδη χρησιμοποιήσει σε πραγματικές επιθέσεις.
Σύμφωνα με μια σάρωση που πραγματοποιήθηκε από τον Phenomite την περασμένη εβδομάδα, αυτή τη στιγμή, υπάρχουν περίπου 1.520 servers Powerhouse που εκθέτουν τη θύρα UDP 20811, πράγμα που σημαίνει ότι μπορεί να γίνει κατάχρηση τους από τις απειλητικές ομάδες DDoS.
Ενώ οι servers βρίσκονται σε όλο τον κόσμο, τα περισσότερα ευάλωτα συστήματα φαίνεται να είναι “στο Ηνωμένο Βασίλειο, τη Βιέννη και το Χονγκ Κονγκ“, δήλωσε ο ερευνητής στο ZDNet.
Έως ότου η Powerhouse διορθώσει αυτήν τη διαρροή, ο ερευνητής έχει συστήσει στις εταιρείες να αποκλείσουν οποιοδήποτε traffic προέρχεται από τα δίκτυα παρόχων VPN (AS21926 και AS22363) ή να αποκλείσουν οποιοδήποτε traffic όπου το “srcport” είναι 20811.
Συνιστάται η δεύτερη λύση, καθώς δεν αποκλείει το νόμιμο traffic VPN από όλους τους χρήστες του Powerhouse VPN, αλλά μόνο τα “reflected” πακέτα που πιθανότατα αποτελούν μέρος μιας επίθεσης DDoS.
Η ανακάλυψη του Phenomite έρχεται να προσθέσει σε μια μεγάλη λίστα νέων διανυσμάτων ενίσχυσης DDoS που έχουν αποκαλυφθεί τους τελευταίους τρεις μήνες.
Πηγή πληροφοριών: zdnet.com
