El FBI advierte sobre nuevos vectores de ataque DDoS: CoAP, WS-DD, ARMS y Jenkins

La Oficina Federal de Investigaciones envió una alerta la semana pasada advirtiendo sobre el descubrimiento de nuevos protocolos de red que han sido abusados ​​para lanzar ataques de denegación de servicio distribuido a gran escala (DDoS). La alerta enumera tres protocolos de red y una aplicación web como vectores de ataque DDoS recientemente descubiertos. La lista incluye CoAP (Protocolo de aplicación restringida), WS-DD (Descubrimiento dinámico de servicios web), ARMS (Servicio de administración remota de Apple) y el software de automatización basado en la web de Jenkins.
Tres de los cuatro (CoAP, WS-DD, ARMS) ya han sido abusados ​​en el mundo real para lanzar ataques DDoS masivos, dijo el FBI según los informes anteriores de ZDNet. En diciembre de 2018, los actores cibernéticos comenzaron a abusar de las funciones de transmisión de comandos y multidifusión del Protocolo de Aplicación Restringida (CoAP) para realizar ataques de amplificación y reflexión DDoS, lo que resulta en un factor de amplificación de 34, según informes de código abierto. A partir de enero de 2019, la gran mayoría de los dispositivos CoAP con acceso a Internet estaban ubicados en China y utilizaban redes móviles punto a punto.
En mayo y agosto de 2019, los ciber actores explotaron el protocolo de descubrimiento dinámico de servicios web (WS-DD) para lanzar más de 130 ataques DDoS, con algunos alcanzando tamaños de más de 350 Gigabits por segundo (Gbps), en dos oleadas de ataque separadas, de acuerdo con los informes de código abierto. Más tarde, ese mismo año, varios investigadores de seguridad informaron un aumento en el uso de protocolos no estándar y dispositivos IoT mal configurados por parte de los actores cibernéticos para amplificar los ataques DDoS, según informes separados de código abierto. Los dispositivos IoT son objetivos atractivos porque usan el protocolo WS-DD para detectar automáticamente nuevos dispositivos conectados a Internet cercanos. Además, WS-DD funciona usando UDP, que permite a los actores falsificar la dirección IP de una víctima y da como resultado la víctima ser inundado con datos de dispositivos IoT cercanos. A agosto de 2019, había 630,000 dispositivos IoT internetaccesibles con el protocolo WS-DD habilitado. En octubre de 2019, los actores cibernéticos explotaron el Servicio de administración remota de Apple (ARMS), una parte de la función de Escritorio remoto de Apple (ARD), para llevar a cabo ataques de amplificación DDoS, según informes de código abierto.
Con ARD habilitado, el servicio ARMS comenzó a escuchar en el puerto 3283 los comandos entrantes a los dispositivos remotos de Apple, que los atacantes usaban para lanzar ataques de amplificación DDoS con un factor de amplificación de 35.5: 1. ARD se usa principalmente para administrar grandes flotas de Apple Macs por universidades y empresas.
En febrero de 2020, los investigadores de seguridad del Reino Unido identificaron una vulnerabilidad en los protocolos de descubrimiento de red integrados de los servidores de automatización de código abierto y sin servidores de Jenkins utilizados para respaldar el proceso de desarrollo de software que los ciber actores podrían explotar para realizar ataques de amplificación DDoS, según Open fuente de informes. Los investigadores estimaron que los actores cibernéticos podrían usar servidores Jenkins vulnerables para amplificar el tráfico de ataques DDoS 100 veces contra la infraestructura en línea de víctimas específicas en todos los sectores. Los funcionarios del FBI creen que estas nuevas amenazas DDoS continuarán siendo explotadas aún más para causar tiempo de inactividad y daños en el futuro previsible.
El propósito de la alerta es advertir a las empresas estadounidenses sobre el peligro inminente, para que puedan invertir en sistemas de mitigación de DDoS y crear asociaciones con sus proveedores de servicios de Internet para responder rápidamente a cualquier ataque que aproveche estos nuevos vectores. El FBI dice que debido a que estos vectores DDoS recientemente descubiertos son protocolos de red que son esenciales para los dispositivos en los que se usan (dispositivos IoT, teléfonos inteligentes, Mac), es poco probable que los fabricantes de dispositivos eliminen o deshabiliten los protocolos en sus productos, de ahí que La amenaza de una nueva ola de ataques DDoS se avecina en el futuro. "En el corto plazo, los actores cibernéticos probablemente explotarán la creciente cantidad de dispositivos con protocolos de red incorporados habilitados de manera predeterminada para crear botnets a gran escala capaces de facilitar ataques DDoS devastadores", dijo el FBI refiriéndose a los nuevos vectores DDoS. br> A partir de ahora, estos cuatro nuevos vectores de ataque DDoS se han utilizado esporádicamente, pero los expertos de la industria esperan que sean ampliamente abusados ​​por los servicios DDoS de alquiler. pags VER GALERÍA COMPLETA.