Distributed denial-of-service (DDoS)-aanvallen die gebruikmaken van een nieuwe versterkingstechniek genaamd TCP Middlebox-reflectie zijn voor het eerst in het wild ontdekt, zes maanden nadat het nieuwe aanvalsmechanisme in theorie werd gepresenteerd.
“De aanval […] maakt misbruik van kwetsbare firewalls en inhoudfiltersystemen om het TCP-verkeer naar een slachtoffermachine te reflecteren en te versterken, waardoor een krachtige DDoS-aanval ontstaat”, aldus Akamai-onderzoekers. zei in een dinsdag gepubliceerd rapport.
“Dit type aanval legt gevaarlijk de lat voor DDoS-aanvallen, omdat de aanvaller slechts 1/75ste (in sommige gevallen) de hoeveelheid bandbreedte nodig heeft vanuit een volumetrisch oogpunt”, voegde de onderzoekers eraan toe.
Een gedistribueerde reflecterende denial-of-service (DRDoS) is een vorm van gedistribueerde denial-of-service (DDoS)-aanval die vertrouwt op openbaar toegankelijke UDP-servers en bandbreedteversterkingsfactoren (BAF’s) om het systeem van een slachtoffer te overstelpen met een groot aantal UDP-reacties.
Bij deze aanvallen stuurt de aanvaller een stortvloed aan DNS- of NTP-verzoeken met een vervalst bron-IP-adres naar het beoogde activum, waardoor de bestemmingsserver de antwoorden terugstuurt naar de host die zich op het vervalste adres bevindt op een versterkte manier die de bandbreedte uitput afgegeven aan het doel.
De ontwikkeling volgt op een academische studie die in augustus 2021 is gepubliceerd over een nieuwe aanvalsvector die misbruik maakt van zwakke punten in de implementatie van het TCP-protocol in middenboxen en censuurinfrastructuur om gereflecteerde denial of service (DoS) amplificatie-aanvallen tegen doelen te organiseren.
Terwijl DoS-versterkingsaanvallen traditioneel misbruik maakten van UDP-reflectievectoren – vanwege de verbindingsloze aard van het protocol – maakt de nieuwe aanvalstechniek gebruik van TCP-niet-naleving in middleboxen zoals deep packet-inspectie (DPI) tools om op TCP gebaseerde reflectieve versterkingsaanvallen uit te voeren.
De eerste golf van “merkbare” aanvalscampagnes die gebruikmaakten van de techniek, zou rond 17 februari hebben plaatsgevonden, waarbij Akamai-klanten in de bank-, reis-, gaming-, media- en webhostingsectoren werden getroffen met grote hoeveelheden verkeer met een piek van 11 Gbps bij 1,5 miljoen pakketten per seconde (Mpps).
“De vector is alleen gebruikt en als onderdeel van multi-vectorcampagnes, waarbij de omvang van de aanvallen langzaam toeneemt”, vertelde Chad Seaman, hoofd van het security intelligence-onderzoeksteam (SIRT) in Akamai, aan The Hacker News.
Het kernidee van op TCP gebaseerde reflectie is om gebruik te maken van de middleboxen die worden gebruikt om censuurwetten en het filterbeleid voor bedrijfsinhoud af te dwingen door speciaal vervaardigde TCP-pakketten te verzenden om een volumetrische reactie te activeren.
Bij een van de aanvallen die door het cloudbeveiligingsbedrijf werden waargenomen, veroorzaakte een enkel SYN-pakket met een payload van 33 bytes een respons van 2156 bytes, waarmee effectief een versterkingsfactor van 65x (6.533%).
“De belangrijkste conclusie is dat de nieuwe vector misbruik in de echte wereld in het wild begint te zien,” zei Seaman. “Normaal gesproken is dit een signaal dat er waarschijnlijk meer wijdverbreid misbruik van een bepaalde vector zal volgen naarmate de kennis en populariteit in het DDoS-landschap toenemen en meer aanvallers tools beginnen te maken om de nieuwe vector te benutten.”
“Verdedigers moeten zich ervan bewust zijn dat we van theorie naar praktijk zijn gegaan, en ze moeten hun verdedigingsstrategieën herzien in overeenstemming met deze nieuwe vector, die ze binnenkort in de echte wereld kunnen zien”, voegde Seaman eraan toe.
