Según un reciente reporte de Akamai, grupos de hacking especializados en ataques de denegación de servicio (DDoS) han comenzado a abusar de los middleboxes de la red para la reflexión y la amplificación de sus campañas maliciosas.
Hace unos meses, un grupo de investigadores publicó un informe sobre middleboxes mal configurados y sistemas de censura para la reflexión de ataques DoS, demostrando que se puede abusar de esta infraestructura para lograr índices de amplificación de DoS de hasta 700,000:1. Los expertos también demostraron que los firewall y los sistemas de prevención de intrusiones empleados por actores estatales también pueden ser usados como armas o potencializadores de ataques DoS.
Estas condiciones dependen de la capacidad de los middleboxes para responder a solicitudes con páginas de bloqueo muy grandes, incluso si no se ha establecido una conexión TCP o un protocolo de enlace válidos.
En su reporte, los expertos de Akamai explican que un actor de amenazas puede crear secuencias de paquetes TCP y enviarlas a los middleboxes. Si los encabezados de solicitud HTTP de estas secuencias contienen un nombre de dominio para un sitio bloqueado, el middlebox responde con encabezados HTTP o páginas HTML completas.
Como parte de un ataque DoS, los hackers falsifican las IP de origen de la víctima prevista, lo que hace que los middleboxes dirijan el tráfico a esa IP en específico: “Estas respuestas brindan a los atacantes una oportunidad de reflexión, y en algunos casos puede convertirse en un factor de ampliación de ataque”, señala el reporte.
Si bien este es un incremento menor en comparación con otros vectores de ataque, las técnicas basadas en el abuso de TCP Middlebox Reflection podrían convertirse en una tendencia creciente, ya que se han confirmado ataques similares contra redes bancarias, sistemas de juegos, viajes y hosting web.
Actualmente hay cientos de miles de sistemas middlebox potencialmente vulnerables a estos ataques en todo el mundo, por lo que los actores de amenazas no necesitan acceder a una gran cantidad de sistemas comprometidos para lanzar ataques poderosos DoS, aunque la buena noticia es que las opciones de mitigación son relativamente fáciles de implementar.
Según Akamai, debido a que los paquetes SYN generalmente se usan para iniciar el protocolo de enlace TCP y no para la transmisión de datos, cualquier paquete que tenga una longitud superior a 0 bytes es sospechoso y se puede usar para activar defensas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad