Los atacantes de denegación de servicio distribuido (DDoS) están utilizando una nueva técnica para dejar fuera de línea a los sitios web al apuntar a «cajas intermedias» vulnerables, como los firewalls, para amplificar los ataques de tráfico basura.
Los ataques de amplificación no son nada nuevo y han ayudado a los atacantes a derribar servidores con breves picos de tráfico de hasta 3,47 Tbps. El año pasado, Microsoft mitigó los ataques a esta escala que fueron el resultado de la competencia entre jugadores de juegos en línea.
Pero hay un nuevo ataque en el horizonte. Akamai, una empresa de redes de distribución de contenido, dice que ha visto una ola reciente de ataques utilizando «TCP Middlebox Reflection», en referencia al protocolo de control de transmisión (TCP), un protocolo fundamental para comunicaciones seguras en Internet entre máquinas en red. Los ataques alcanzaron los 11 Gbps a 1,5 millones de paquetes por segundo (Mpps), según Akamai.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
La técnica de amplificación fue revelada en un trabajo de investigación en agosto pasado, que mostró que los atacantes pueden abusar de los middleboxes como los firewalls a través de TCP para magnificar los ataques de denegación de servicio. El documento fue de investigadores de la Universidad de Maryland y la Universidad de Colorado Boulder.
La mayoría de los ataques DDoS abusan del Protocolo de datagramas de usuario (UDP) para amplificar la entrega de paquetes, generalmente enviando paquetes a un servidor que responde con un tamaño de paquete más grande, que luego se reenvía al objetivo previsto del atacante.
El ataque TCP se aprovecha de los middleboxes de la red que no cumplen con el estándar TCP. Los investigadores encontraron cientos de miles de direcciones IP que podrían amplificar los ataques más de 100 veces utilizando firewalls y dispositivos de filtrado de contenido.
Entonces, lo que fue un ataque teórico hace solo ocho meses ahora es una amenaza real y activa.
«La amplificación DDoS de Middlebox es un tipo completamente nuevo de ataque de reflexión/amplificación de TCP que es un riesgo para Internet. Esta es la primera vez que observamos esta técnica en la naturaleza», dice en una publicación de blog.
Los cortafuegos y dispositivos intermedios similares de Cisco, Fortinet, SonicWall y Palo Alto Networks son piezas clave de la infraestructura de red corporativa. Sin embargo, algunos middleboxes no validan correctamente los estados de transmisión de TCP al aplicar políticas de filtrado de contenido.
«Estos cuadros se pueden hacer para responder a paquetes TCP fuera del estado. Estas respuestas a menudo incluyen contenido en sus respuestas destinadas a «secuestrar» los navegadores de los clientes en un intento de evitar que los usuarios accedan al contenido bloqueado. Esta implementación de TCP rota puede a su vez, ser abusado para reflejar el tráfico TCP, incluidos los flujos de datos, a las víctimas de DDoS por parte de los atacantes», señala Akamai.
Los atacantes pueden abusar de estos cuadros falsificando la dirección IP de origen de la víctima prevista para dirigir el tráfico de respuesta desde los cuadros intermedios.
En TCP, las conexiones usan el indicador de control de sincronización (SYN) para intercambiar mensajes clave para un protocolo de enlace de tres vías. Los atacantes abusan de la implementación de TCP en algunos middelboxes que hacen que respondan inesperadamente a los mensajes de paquetes SYN. En algunos casos, Akamai observó que un único paquete SYN con una carga útil de 33 bytes producía una respuesta de 2156 bytes, lo que aumentaba su tamaño en un 6533 %.
