Imperva mitiga ataque DDoS de larga duración con más 25 mil millones de solicitudes

La empresa de seguridad de Internet Imperva ha anunciado que su solución de mitigación de DDoS (denegación de servicio distribuida) ha batido un nuevo récord, defendiéndose contra un único ataque que envió más de 25.300 millones de solicitudes a uno de sus clientes.

Se dice que el "fuerte ataque", que tuvo como objetivo a una empresa de telecomunicaciones china no identificada, duró cuatro horas y alcanzó un máximo de 3,9 millones de solicitudes por segundo (RPS).

El propietario del sitio objetivo, una empresa de telecomunicaciones china, suele ser blanco de grandes ataques. Este sitio específico fue atacado nuevamente dos días después, aunque el ataque fue de menor duración.

Ataque:

En la mañana del 27 de junio, las tasas de ataque alcanzaron un total de 25 300 millones de solicitudes en cuatro horas, con una tasa promedio de 1,8 millones de RPS.

Como se ve en esta imagen, el ataque comenzó con 3,1 millones de RPS y mantuvo una tasa de alrededor de 3 millones de RPS. Una vez que el ataque alcanzó un máximo de 3,9 millones de RPS, el ataque disminuyó durante varios minutos, pero volvió a su máxima potencia durante otra hora.

Los atacantes utilizaron la multiplexación HTTP/2, o la combinación de varios paquetes en uno, para enviar varias solicitudes a la vez a través de conexiones individuales. Esta técnica puede hacer que los servidores se caigan utilizando una cantidad limitada de recursos, y tales ataques son extremadamente difíciles de detectar. Dado que la solución de mitigación automatizada de imperva está garantizada para bloquear DDoS en menos de tres segundos, se estima que el ataque podría haber alcanzado una tasa mucho mayor que el pico rastreado de 3,9 millones de RPS.

El ataque duró más de cuatro horas, lo que lo coloca en una pequeña categoría de ataques. Según el DDoS Threat Landscape Report de Imperva , solo el 10,5 % de los ataques duran entre una y seis horas, y la mayoría dura menos de quince minutos.

Botnet:

Este ataque se lanzó desde una botnet masiva de casi 170.000 direcciones IP diferentes, incluidos enrutadores, cámaras de seguridad, servidores comprometidos e IoT mal protegidos.

Esta red incluye dispositivos comprometidos de más de 180 países, aunque la mayoría se encuentran en EE. UU., Indonesia y Brasil. Algunos de estos servidores están alojados en varias nubes públicas e incluso en proveedores de servicios de seguridad en la nube.

Si bien la botnet no fue nombrada ni identificada, no parece ser " Mantis ", que fue responsable del récord de mitigación de DDoS de Cloudflare en junio.

Cloudflare dice que Mantis se basa en una cantidad menor de dispositivos, poco más de cinco mil, y se enfoca principalmente en incorporar servidores y máquinas virtuales potentes.

La cantidad de dispositivos utilizados contra el cliente de Imperva se acerca más a las estimaciones de Mēris , la red de bots responsable del anterior récord de DDoS, con 21,8 millones de RPS. Los investigadores han estimado que el enjambre Mēris abarca entre 30.000 y 250.000 dispositivos.

Aún así, tanto Mēris como Mantis han lanzado ataques rápidos en ráfagas cortas, no DDoS de varias horas, por lo que podría ser una red de bots novedosa, aún no identificada.

Los ataques de denegación de servicio, ya sea distribuido o no, causan graves consecuencias en los sistemas atacados. Durante los últimos meses se han registrado fuertes campañas asociadas a las botnet llamando fuertemente la atención al registrar dos récord en volumen de peticiones por segundo generadas en cada caso, con 26 millones de solicitudes por segundo registrado en junio por Cloudflare y 46 millones de solicitudes por segundo registrado por Google Cloud el pasado mes de agosto, por lo que implementar medidas preventivas será imprescindible ya que, en caso contrario, solamente se sabrá que han sido víctimas de este tipo ataque cuando el servicio deje de funcionar.

A pesar que las reales intenciones de la botnet no están claras, no se descarta que se trate de fines económicos como un RDDoS, fines políticos por naciones-estado u otra organización que busca demostrar potencial tecnológico o desprestigiar a adversarios.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Para protegernos de ataques DDoS es fundamental monitorizar el tráfico.
• Un Cortafuegos capaz de bloquear todas las solicitudes de acceso que no sean legítimas.
• Evaluar la utilización de un servicio de mitigación de DDoS, junto con la implementación de aplicaciones a través de una infraestructura altamente distribuida.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
• Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
• Ubicar el servidor web en una zona desmilitarizada (entre cortafuegos), también llamada DMZ, evitando así que un intruso pueda acceder a la red interna si vulnera el servidor web;
• implementar un sistema de detección y prevención de intrusiones (IDS/IPS) que monitorizan las conexiones y nos alerta si detecta intentos de acceso no autorizados o mal uso de protocolos;
• utilizar un dispositivo o software con funcionalidad mixta (antivirus, cortafuegos y otras), como un UTM que permite gestionar de manera unificada la mayoría de ciberamenazas que pueden afectar a una empresa.
• contar con el mayor ancho de banda posible. De esta forma, se podrán gestionar mejor los picos de tráfico que causan las denegaciones de servicio.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.