Κάποιοι χειριστές botnet κάνουν
κατάχρηση
των VPN servers από τον παροχέα VPN Powerhouse Management ως τρόπο αναπήδησης και ενίσχυσης ανεπιθύμητου traffic μέρους των επιθέσεων DDoS.
Αυτός ο νέος φορέας DDoS έχει ανακαλυφθεί και τεκμηριωθεί από έναν ερευνητή
ασφαλείας
που κυκλοφορεί στο
διαδίκτυο
ως Phenomite, ο οποίος μοιράστηκε τα ευρήματα του με το ZDNet την περασμένη εβδομάδα.
Ο ερευνητής είπε ότι η βασική αιτία αυτού του νέου διανύσματος DDoS είναι μια υπηρεσία (που δεν έχει ακόμη εντοπιστεί) που εκτελείται στη θύρα UDP 20811 σε servers Powerhouse VPN.
Ο Phenomite λέει ότι οι εισβολείς μπορούν να “κάνουν ping” σε αυτήν τη θύρα με ένα αίτημα one-byte και η υπηρεσία θα ανταποκρίνεται συχνά με πακέτα που έχουν μέγεθος έως και 40 φορές το αρχικό πακέτο.
Δεδομένου ότι αυτά τα πακέτα βασίζονται σε UDP, μπορούν επίσης να τροποποιηθούν ώστε να περιέχουν λανθασμένη
IP
επιστροφής. Αυτό σημαίνει ότι ένας εισβολέας μπορεί να στείλει ένα πακέτο UDP ενός byte σε έναν server Powerhouse VPN, ο οποίος στη συνέχεια το ενισχύει και το στέλνει στη διεύθυνση IP ενός θύματος μιας επίθεσης DDoS – δηλαδή αυτό που οι ερευνητές
ασφαλείας
αποκαλούν ως reflected/amplified επίθεση DDoS.
Τόσο ο Phenomite όσο και το ZDNet έχουν επικοινωνήσει με το Management της Powerhouse για να ενημερώσουν την εταιρεία σχετικά με τη συμπεριφορά των προϊόντων της, επιδιώκοντας να διασφαλίσουν ότι θα αναπτυχθεί μια ενημερωμένη έκδοση κώδικα στους servers της που θα αποτρέψει την
κατάχρηση
της υποδομής VPN της σε μελλοντικές
επιθέσεις
DDoS.
Ωστόσο, η εταιρεία δεν έχει απαντήσει στα σχετικά αιτήματα.
Επιπλέον, μάθαμε επίσης σήμερα ότι οι απειλητικοί παράγοντες έχουν επίσης ανακαλύψει αυτόν τον φορέα επίθεσης DDoS, τον οποίο έχουν ήδη χρησιμοποιήσει σε πραγματικές
επιθέσεις
.
Σύμφωνα με μια σάρωση που πραγματοποιήθηκε από τον Phenomite την περασμένη εβδομάδα, αυτή τη στιγμή, υπάρχουν περίπου 1.520 servers Powerhouse που εκθέτουν τη θύρα UDP 20811, πράγμα που σημαίνει ότι μπορεί να γίνει
κατάχρηση
τους από τις απειλητικές ομάδες DDoS.
Ενώ οι servers βρίσκονται σε όλο τον κόσμο, τα περισσότερα ευάλωτα
συστήματα
φαίνεται να είναι “στο Ηνωμένο Βασίλειο, τη Βιέννη και το Χονγκ Κονγκ“, δήλωσε ο ερευνητής στο ZDNet.
Έως ότου η Powerhouse διορθώσει αυτήν τη
διαρροή
, ο ερευνητής έχει συστήσει στις εταιρείες να αποκλείσουν οποιοδήποτε traffic προέρχεται από τα δίκτυα παρόχων VPN (AS21926 και AS22363) ή να αποκλείσουν οποιοδήποτε traffic όπου το “srcport” είναι 20811.
Συνιστάται η δεύτερη λύση, καθώς δεν αποκλείει το νόμιμο traffic VPN από όλους τους χρήστες του Powerhouse VPN, αλλά μόνο τα “reflected” πακέτα που πιθανότατα αποτελούν μέρος μιας επίθεσης DDoS.
Η ανακάλυψη του Phenomite έρχεται να προσθέσει σε μια μεγάλη λίστα νέων διανυσμάτων ενίσχυσης DDoS που έχουν αποκαλυφθεί τους τελευταίους τρεις μήνες.
Πηγή πληροφοριών: zdnet.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.