Os ataques DDoS via protocolo TFTP se tornam realidade!

Quase três meses depois, pesquisadores da Universidade Napier de Edimburgo publicaram um estudo sobre como ataques reflexos de DDoS podem ser realizados com abuso de servidor TFTP. Agora, Akamai alerta para ataques da vida real.

A Akamai SIRT, equipe de segurança da empresa, diz que seus engenheiros detectaram pelo menos dez ataques DDoS desde 20 de abril de 2016. Durante esse período, os fraudadores abusaram dos servidores TFTP expostos à Internet para refletir o tráfego e enviá-lo. dez vezes mais que seus alvos, em uma tática chamada ataque de DDoS “reflexão” (ou “amplificação”).

Os ataques DDoS via protocolo TFTP se tornam realidade!

Os fraudadores enviaram um pequeno número de pacotes aos servidores TFTP, que continham vários problemas na implementação do protocolo e os enviaram de volta multiplicados aos seus destinos. O fator de multiplicação para ataques TFTP DDoS é 60, bem acima da média normal de reflexão de ataque DDoS, que está entre 2 e 10.

Akamai diz que os ataques, que foram detectados usando servidores TFTP, faziam parte de um ataque DDoS multi-vetor, no qual os fraudadores “envolviam” diferentes vulnerabilidades DDoS juntas para confundir a parte de TI de seu alvo e dificultar a tarefa. problema a ser mitigado.

Como o ataque não foi claro, nunca atingiu grandes medições estatísticas. A Akamai relata que a largura de banda era de 1,2 Gbps e o volume máximo dos pacotes era de 176,400 pacotes por segundo. Esses valores são considerados baixos para ataques DDoS, mas suficientes para consumir a largura de banda de destino.

O Akamai SIRT diz que viu uma versão armada do script de ataque TFTP ser lançada on-line assim que o estudo da Napier University foi lançado.

O cenário de ataque é simples e recebe valores de entrada do usuário, como o IP da vítima, a porta de ataque, uma lista de endereços IP de servidores TFTP vulneráveis ​​que têm acesso à Internet, a taxa de pacotes por segundo, o número de threads e a hora em que o script deve ser executado.

Nos ataques detectados, Akamai diz que os fraudadores não definiram a porta do ataque e seu script enviou tráfego para portas aleatórias no servidor de destino.

Em março passado, os pesquisadores da Universidade Napier disseram que mais de 599.600 servidores públicos foram encontrados com a porta 69 (TFTP) aberta.

A Akamai adverte as organizações para garantir seus servidores TFTP colocando esses servidores atrás de um firewall. Como o protocolo TFTP de 25 anos não oferece suporte a métodos modernos de autenticação, não há boas razões para expor esses tipos de servidores à Internet.