Η OVHcloud αντιμετωπίζει τη μεγαλύτερη DDoS επίθεση σε botnet της MikroTik

Η

OVHcloud

, ένας παγκόσμιος πάροχος υπηρεσιών cloud και ένας από τους μεγαλύτερους του είδους του στην Ευρώπη, λέει ότι μετριάστηκε μια επίθεση κατανεμημένης άρνησης υπηρεσίας (DDoS) που έσπασε ρεκόρ νωρίτερα φέτος, η οποία έφτασε σε έναν πρωτοφανή ρυθμό πακέτων 840 εκατομμυρίων πακέτων ανά δευτερόλεπτο (Mpps ).

Η εταιρεία αναφέρει ότι έχει δει μια γενική τάση αύξησης των μεγεθών επιθέσεων από το 2023, με αυτές που ξε

περνούν

το 1 Tbps να γίνονται πιο συχνές και να κλιμακώνονται σε εβδομαδιαία και σχεδόν καθημερινά περιστατικά το 2024.

Πολλαπλές επιθέσεις διατήρησαν υψηλούς ρυθμούς bit και ρυθμούς πακέτων για εκτεταμένες περιόδους τους τελευταίους 18 μήνες, με τον υψηλότερο ρυθμό bit που καταγράφηκε από το OVHcloud κατά τη διάρκεια αυτής της περιόδου να είναι 2,

5

Tbps στις 25 Μαΐου 2024.

Η ανάλυση ορισμένων από αυτές τις επιθέσεις αποκάλυψε την εκτεταμένη χρήση συσκευών πυρήνα δικτύου, ιδιαίτερα μοντέλων Mikrotik, καθιστώντας τις επιθέσεις πιο αποτελεσματικές και απαιτητικές για τον εντοπισμό και τη διακοπή.

Ρεκόρ DDoS

Νωρίτερα φέτος, η OVHcloud έπρεπε να μετριάσει μια μαζική επίθεση με ρυθμό πακέτων που έφτασε τα 840 Mpps, ξεπερνώντας τον προηγούμενο κάτοχο του ρεκόρ, μια επίθεση DDoS 809 Mpps που στόχευε μια ευρωπαϊκή τράπεζα, την οποία η Akamai μετριάστηκε τον Ιούνιο του 2020.

“Η υποδομή μας έπρεπε να μετριάσει αρκετές επιθέσεις 500+ Mpps στις αρχές του 2024, συμπεριλαμβανομένης μιας που κορυφώθηκε στα 620 Mpps.”

εξηγεί η OVHcloud

.

«Τον Απρίλιο του 2024, μετριάσαμε ακόμη και μια επίθεση DDoS που έσπασε ρεκόρ που έφτασε τα ~840 Mpps, ακριβώς πάνω από το προηγούμενο ρεκόρ που ανέφερε η Akamai».

Ο πάροχος υπηρεσιών cloud σημείωσε ότι η επίθεση TCP ACK προήλθε από 5.000 IP προέλευσης. Τα δύο τρίτα των πακέτων δρομολογήθηκαν μέσω μόλις τεσσάρων Σημείων Παρουσίας (PoPs), όλα στις

Ηνωμένες Πολιτείες

και τρία στη Δυτική Ακτή.

Η ικανότητα του εισβολέα να συγκεντρώνει αυτή τη μαζική κίνηση μέσω ενός σχετικά στενού φάσματος υποδομής διαδικτύου καθιστά αυτές τις προσπάθειες DDoS πιο τρομερές και πιο απαιτητικές για τον μετριασμό.

Η ισχυρή Mikrotiks κατηγόρησε

Η OVHcloud λέει ότι πολλές από τις επιθέσεις υψηλού ρυθμού πακέτων που κατέγραψε, συμπεριλαμβανομένης της επίθεσης που έσπασε ρεκόρ από τον Απρίλιο, προέρχονται από παραβιασμένες συσκευές MirkoTik Cloud Core Router (CCR) που έχουν σχεδιαστεί για δικτύωση υψηλής απόδοσης.

Η εταιρεία εντόπισε, συγκεκριμένα, παραβιασμένα μοντέλα CCR1036-8G-2S+ και CCR1072-1G-8S+, τα οποία χρησιμοποιούνται ως πυρήνες δικτύου μικρού έως μεσαίου μεγέθους.

Πολλές από αυτές τις συσκευές εξέθεσαν τη διεπαφή τους στο διαδίκτυο, εκτελώντας ξεπερασμένο υλικολογισμικό και καθιστώντας τις επιρρεπείς σε επιθέσεις αξιοποιώντας εκμεταλλεύσεις για γνωστά τρωτά σημεία.

Η εταιρεία cloud υποθέτει ότι οι επιτιθέμενοι μπορεί να χρησιμοποιήσουν τη λειτουργία “Bandwidth Test” του RouterOS της MikroTik, που έχει σχεδιαστεί για δοκιμές πίεσης διεκπεραιότητας δικτύου, για να δημιουργήσουν υψηλούς ρυθμούς πακέτων.

Το OVHcloud βρήκε σχεδόν 100.000 συσκευές Mikrotik που είναι προσβάσιμες/εκμεταλλεύσιμες μέσω του Διαδικτύου, αντισταθμίζοντας πολλούς πιθανούς στόχους για τους φορείς DDoS.

Λόγω της υψηλής ισχύος επεξεργασίας των συσκευών MikroTik, οι οποίες διαθέτουν CPU 36 πυρήνων, ακόμη και αν ένα μικρό ποσοστό από αυτά τα 100.000 διακυβευόταν, θα μπορούσε να οδηγήσει σε ένα botnet ικανό να παράγει δισεκατομμύρια πακέτα ανά δευτερόλεπτο.

Το OVHcloud υπολόγισε ότι η αεροπειρατεία του 1% των εκτεθειμένων μοντέλων σε ένα botnet θα μπορούσε να δώσει στους εισβολείς αρκετή δύναμη πυρός για να εξαπολύσουν επιθέσεις, φτάνοντας τα 2,28 δισεκατομμύρια πακέτα ανά δευτερόλεπτο (Gpps).

Οι συσκευές MikroTik έχουν χρησιμοποιηθεί ξανά για την κατασκευή ισχυρών botnets στο παρελθόν, με αξιοσημείωτη περίπτωση το botnet Mēris.

Παρά τις πολλαπλές προειδοποιήσεις του προμηθευτή προς τους χρήστες να αναβαθμίσουν το RouterOS σε ασφαλή έκδοση, πολλές συσκευές παρέμειναν ευάλωτες σε επιθέσεις για μήνες, κινδυνεύοντας να εγγραφούν σε σμήνη DDoS.

Η OVHcloud λέει ότι έχει ενημερώσει τη MikroTik για τα τελευταία της ευρήματα, αλλά δεν έχουν λάβει απάντηση.