攻击者不仅利用旧的、未修补的漏洞,他们还以惊人的速度利用最近的披露。今年,我们目睹了两个全球性事件,这些事件突出了攻击者将漏洞武器化的演变和速度:Memcache和 Druppalgeddon。
Memcached DDoS 攻击
2月下旬,Radware 的威胁检测网络发出UDP 端口 11211 活动增加的信号。同时,一些组织开始警告攻击者滥用 Memcached 服务器进行放大攻击的相同趋势。Memcached 放大的DDoS 攻击利用合法的第三方 Memcached 服务器向目标受害者发送欺骗性攻击流量。Memcached 与其他基于 UDP 的服务(SSDP、DNS 和 NTP)一样,是没有本地身份验证的 Internet 服务器,因此被劫持以对其受害者发起放大的攻击。Memcached 协议从未打算向 Internet 公开,因此没有足够的安全控制。由于这种暴露,攻击者能够滥用 Memcached UDP 端口 11211 进行反射性、体积 DDoS 攻击。
2月 27 日,Memcached 版本 1.5.6 发布,其中指出 UDP 端口 11211 已暴露,并通过默认禁用 UDP 协议解决了该问题。第二天,在应用更新之前,攻击者利用这个新的攻击向量发起了世界上最大的 DDoS 攻击,该攻击以前由Mirai僵尸网络持有。
关于Memcached漏洞有两个主要问题。第一个以暴露的 Memcached 服务器的数量为中心。只需不到 100,000 台服务器,而发动1Tbps攻击只需几千台,令人担忧的原因是巨大的。大多数组织此时可能不知道他们有易受攻击的 Memcached 服务器暴露在 Internet 中,并且需要时间来阻止或过滤此服务。Memcached 服务器将在一段时间内易受攻击,从而允许攻击者使用少量资源生成大量 DDoS 攻击。
第二个问题是攻击者开始利用此漏洞所花费的时间。在修补和发布Memcached漏洞之前的几天,活动高峰就已经知道了。在发布后的 24 小时内,攻击者能够构建易受攻击的 MMemcached 服务器的放大列表并发起大规模攻击。
除了这种威胁之外,臭名昭著的压力源服务Defcon.pro在披露后迅速将 Memcache 纳入其高级产品中。出于多种原因, Stresser 服务通常可以快速利用最新的攻击向量。第一个原因是宣传。希望购买 DDoS 即服务的攻击者将搜索提供最新向量的平台。将它们包含在服务中表明了对最新载体的需求。此外,运营商可能会包含 Memcache DDoS 即服务,以便为用户提供更多功能。提供Memcache DDoS 即服务的压力源服务也可能会吸引更多寻求数量并再次影响营销和可用性的客户。
DDoS即服务运营商正在开展业务,目前正在快速发展以满足需求。通常,这些运营商利用类似于敲诈勒索者的新闻报道引起的公众关注。同样,由于新工具带来的风险,勒索拒绝服务 (RDoS) 运营商会迅速威胁使用新工具。DDoS 即服务也会做同样的事情,但一旦安全专家缓解了威胁,网络犯罪分子就会寻找更新的载体来整合到他们最新的工具包或产品中。
这导致了Drupalgeddon活动的下一个示例,以及黑客活动家如何迅速地将这种攻击向量纳入他们的工具包,以通过污损传播信息。
