Natukoy ng pangkat ng seguridad ng network ng paghahatid ng nilalaman ng Akamai ang isang karagdagang vector ng pag-atake para sa prosesong na-browse sa mga tasa, bilang karagdagan sa paggamit nito bilang bahagi ng pagsasamantala na humahantong sa pagpapatupad ng code sa system. Sa pamamagitan ng pagpapadala ng mga kahilingan sa cups-browsed na proseso, na tumatanggap ng mga koneksyon sa port 631 nang walang mga paghihigpit, makakamit mo ang data na ipinadala sa isa pang host, na ang laki nito ay magiging hanggang 600 beses na mas malaki kaysa sa orihinal na kahilingan. Para sa paghahambing, ang pakinabang para sa memcached ay maaaring umabot ng 10-50 libong beses, NTP - 556 beses, DNS - 28-54, RIPv2 - 21, SNMPv2 - 6.
Binibigyang-daan ka ng feature na ito na gumamit ng mga system na may mga cup-browsed bilang traffic amplifier kapag nagsasagawa ng mga pag-atake ng DDoS. Ang paraan ng pag-atake ng traffic amplifier ay batay sa katotohanan na ang mga kahilingan mula sa mga computer na kalahok sa isang pag-atake ng DDoS ay hindi direktang ipinadala sa system ng biktima, ngunit sa pamamagitan ng isang intermediate traffic amplifier. Sa panahon ng pag-scan ng network, higit sa 198 libong mga mahina na sistema na may CUPS ang natukoy, kung saan 34% (58 libong mga sistema) ay angkop para sa pagpapalakas ng trapiko sa isang pag-atake ng DDoS.
Hindi tulad ng mga paraan ng pagpapalakas ng trapiko na nangangailangan ng pagpapadala ng mga UDP packet na may pekeng return address ng biktima, ang paggamit ng cups-browsed ay nag-aalis ng pangangailangan para sa spoofing. Ang serbisyong cups-browsed ay may built-in na kakayahang mag-download ng PPD file mula sa isang arbitraryong lokasyon. server bilang tugon sa isang hindi awtorisadong panlabas na kahilingan, kung saan ang kliyente ay nagpapasa ng isang URL at mga pagtatangka sa pamamagitan ng cups-browsed na mag-download ng isang PPD file mula sa tinukoy na server.
Kapag nagpapadala ng kahilingan sa pag-download ng PPD file sa cups-browsed, maaari kang magdagdag ng karagdagang padding sa value na "IPP URI", na maaaring umabot ng hanggang 989 bytes. Sa kasong ito, ang value na "IPP URI" ay dinoble sa request na sinimulan ng cups-browsed—isang beses sa HTTP header at isang beses sa katawan ng POST request, at ang mga request ay inuulit nang paulit-ulit pagkatapos ng hindi matagumpay na mga pagtatangka sa pag-download at pagbabalik. server 404 na error code.
Sa 62% (35900) ng mga sistemang sinubukan, ang mga na-browse gamit ang mga tasa ay nagpadala ng hindi bababa sa 10 TCP/IPMga kahilingan ng P/HTTP sa inatake na sistema bilang tugon sa isang paunang kahilingan ng UDP. Sa karaniwan, para sa 58000 apektadong sistema, ang bilang ng mga muling pagsubok ay 45. Sa pinakamainam na senaryo, ang pagpapadala ng isang paunang kahilingan na may 30-byte na may 45 muling pagsubok ay magreresulta sa 18000 bytes ng data na ipapadala sa target na sistema, na kumakatawan sa 600-beses na pagtaas sa trapiko. Sa pinakamasamang senaryo, ang pagtaas ay 108-beses.
Bukod pa rito, mapapansin natin na naitaboy ng Cloudflare ang isang record na pag-atake ng DDoS, bilang resulta kung saan ang daloy ng 3.8 terabit bawat segundo (2.14 bilyong packet bawat segundo) ay ipinadala sa system ng biktima. Nabanggit na ang pag-atake ay inayos gamit ang isang malaking bilang ng mga nakompromisong Asus at Mikrotik na mga router sa bahay, pati na rin ang mga DVR device at web server, na na-hack, bukod sa iba pang mga bagay, gamit ang medyo kamakailang mga kahinaan.
Pinagmulan: opennet.ru
