Els serveis DDoS llogats ara abusen activament dels servidors de seguretat de la capa de transport de Datagram (D/TLS) no configurats o obsolets per amplificar els atacs de denegació de servei distribuït (DDoS).
DTLS és una versió basada en UDP del protocol Transport Layer Security (TLS) que evita la intercepció i la manipulació en aplicacions i serveis sensibles al retard.
Ja s'ha abusat en atacs DDoS únic i multi-vector
Segons els informes que van sorgir al desembre, un atac DDOS va utilitzar DTLS per amplificar el trànsit d'aparells vulnerables de Citrix ADC mitjançant configuracions DTLS sense un mecanisme anti-spoofing 'HelloClientVerify' dissenyat per bloquejar aquest tipus d'abús.
Els atacs DDoS amb DTLS poden assolir un factor d'amplificació de 35 segons el proveïdor alemany de protecció DDoS Enllaç 11 o una relació d'amplificació de 37,34:1 segons la informació proporcionada per l'empresa de mitigació de DDoS Netscout .
Citrix va llançar una solució per eliminar el vector d'amplificació dels aparells NetScaler ADC afectats al gener, afegint una configuració 'HelloVerifyRequest' per eliminar el vector d'atac.
Dos mesos més tard, però, Netscout va dir que més de 4.200 servidors DTLS encara estan disponibles a Internet i estan madurs per a l'abús en atacs DDoS de reflexió/amplificació.
Netscout ha observat atacs DDoS d'amplificació DTLS d'un sol vector de fins a aproximadament 44,6 Gbps i atacs de múltiples vectors de fins a ~ 206,9 Gbps.
Adoptat pels serveis d'arrencada DDoS
Les plataformes de lloguer de DDoS, també conegudes com a estressants o arrencadors, ara també utilitzen DTLS com a vector d'amplificació que el posa a les mans d'atacants menys sofisticats.
Els serveis d'arrencada són utilitzats per amenaces, bromistas o hacktivistes sense temps per invertir ni les habilitats per construir la seva pròpia infraestructura DDoS.
Lloguen serveis estressants per llançar atacs DDoS que desencadenen una denegació de servei que habitualment bloqueja servidors o llocs específics o provoca diversos nivells d'interrupció.
'Com és habitual amb els darrers vectors d'atac DDoS, sembla que després d'un període inicial de desplegament per part d'atacants avançats amb accés a una infraestructura d'atac DDoS a mida, la reflexió/amplificació D/TLS s'ha armat i afegit. -anomenat DDoS-for-Hire 'booter/stress', fent-lo assequible per a la població atacant', va afegir Netscout.
Per mitigar aquests atacs, els administradors poden desactivar els serveis DTLS innecessaris als servidors connectats a Internet o fer-los complir/configurar per utilitzar el mecanisme anti-spoofing HelloVerifyRequest per eliminar el vector d'amplificació DTLS.
DHS-CISA als provides guia sobre com detectar atacs DDoS i quins passos s'han de seguir quan s'estan produint atacs DDoS.
Què penses?
