Los atacantes que realizan de Denegación de Servicio Distribuido (DDoS) están utilizando una nueva técnica para dejar fuera de línea a los sitios web al apuntar a "cajas intermedias" vulnerables, como los firewalls, para amplificar los ataques de tráfico basura.

Los ataques de amplificación no son nada nuevo y han ayudado a los atacantes a derribar servidores con breves picos de tráfico de hasta 3,47 Tbps. El año pasado, Microsoft mitigó los ataques a esta escala que fueron el resultado de la competencia entre jugadores de juegos en línea.

Akamai dice que ha visto una ola reciente de ataques utilizando "TCP Middlebox Reflection", en referencia al protocolo TCP. Los ataques alcanzaron los 11 Gbps a 1,5 millones de paquetes por segundo (Mpps), según Akamai. Este tipo de ataque baja peligrosamente el listón de los ataques DDoS, ya que el atacante necesita tan solo 1/75 (en algunos casos) de la cantidad de ancho de banda desde un punto de vista volumétrico.

La técnica de amplificación fue revelada en un trabajo de investigación [PDF] en agosto pasado en la Conferencia USENIX Security 2021 , que mostró que los atacantes pueden abusar de los middleboxes como los firewalls a través de TCP para magnificar los ataques de denegación de servicio. El documento fue de investigadores de la Universidad de Maryland y la Universidad de Colorado Boulder.

El ataque abusa de los firewalls vulnerables y los sistemas de filtrado de contenido para reflejar y amplificar el tráfico TCP a una máquina víctima, creando un poderoso ataque DDoS. Los middleboxes van desde censores de estados-nación, como el Gran Cortafuegos de China, hasta sistemas de filtrado de contenido empresarial corporativo, y se pueden encontrar en todo el mundo.

Se han observado ataques contra organizaciones en las industrias de banca, viajes, juegos, medios y alojamiento web. Aunque el tráfico de ataques actual es relativamente pequeño, se espera que este tipo de ataques crezca en el futuro, debido a la importante amplificación que ofrece al atacante.

La mayoría de los ataques DDoS abusan del protocolo UDP para amplificar la entrega de paquetes, generalmente enviando paquetes a un servidor que responde con un tamaño de paquete más grande, que luego se reenvía al objetivo previsto del atacante.

El ataque TCP se aprovecha de los middleboxes de la red que no cumplen con el estándar TCP. Los investigadores encontraron cientos de miles de direcciones IP que podrían amplificar los ataques más de 100 veces utilizando firewalls y dispositivos de filtrado de contenido. Entonces, lo que fue un ataque teórico hace solo ocho meses ahora es una amenaza real y activa.

"La amplificación DDoS de Middlebox es un tipo completamente nuevo de ataque de reflexión/amplificación de TCP que es un riesgo para Internet. Esta es la primera vez que observamos esta técnica en la naturaleza", dice en una publicación de blog.

Los firewall y dispositivos intermedios similares de Cisco, Fortinet, SonicWall y Palo Alto Networks son piezas clave de la infraestructura de red corporativa. Sin embargo, algunos middleboxes no validan correctamente los estados de transmisión de TCP al aplicar políticas de filtrado de contenido.

"Se puede hacer que estos dispositivos respondan a paquetes TCP fuera del estado. Estas respuestas a menudo incluyen contenido en sus respuestas destinadas a "secuestrar" los navegadores de los clientes en un intento de evitar que los usuarios accedan al contenido bloqueado. Esta implementación de TCP rota puede a su vez, ser abusado para reflejar el tráfico TCP, incluidos los flujos de datos, a las víctimas de DDoS", señala Akamai. Los atacantes pueden abusar de estas cajas falsificando la dirección IP de origen de la víctima prevista para dirigir el tráfico de respuesta desde las cajas intermedias.

En TCP, las conexiones usan el indicador de control de sincronización (SYN) para intercambiar mensajes en el saludo de tres vías. Los atacantes abusan de la implementación de TCP en algunos middelboxes que hacen que respondan inesperadamente a los mensajes de paquetes SYN. En algunos casos, Akamai observó que un único paquete SYN con una carga útil de 33 bytes producía una respuesta de 2.156 bytes, lo que aumentaba su tamaño en un 6.533%. Algunas implementaciones de middlebox permiten a los atacantes agregar inundaciones SYN, ACK o PSH+ACK al ataque, además del ataque TCP volumétrico.

Fuente. Akamai