В конце прошлого года специалистам Akamai Technologies по облачной защите от DDoS довелось отражать не совсем обычный GET flood: злоумышленники применили технику отражения, используя сайты Joomla в качестве прокси-посредников. Анализ вредоносного трафика с этих узлов, проведенный PLXsert Akamai совместно с PhishLabs, позволил установить невольного виновника автоматизированной серверной атаки — уязвимый Joomla-плагин Google Maps.

«Уязвимости в веб-приложениях, размещенных у SaaS-провайдеров, по-прежнему предоставляют широкие возможности для криминальных элементов, — комментирует Стюарт Шолли, старший вице-президент Akamai и главный руководитель проектов по обеспечению корпоративной безопасности. — В данном случае они используют уязвимый Joomla-плагин, разработав под него новый способ DDoS-атаки и новые инструменты, предлагаемые напрокат. Это еще одна уязвимость в веб-приложении, коих несть числа, и конца этому не видно. Предприятиям необходимо иметь готовый план по ограничению мусорного трафика, исходящего с миллионов облачных SaaS-серверов, которые могут быть использованы в DDoS-атаках».

Уязвимость в Google Maps для Joomla, о которой идет речь, не нова, при эксплойте она вынуждает плагин работать как прокси. Если злоумышленник при этом подменит источник запросов, указав IP-адрес мишени, ответы с использующего плагин сервера пойдут в нужном ему направлении. В итоге истинный источник атаки останется в тени, так как основной мусорный поток, похожий на обычные пользовательские соединения, будут создавать Joomla-серверы. Мощность такого DDoS-трафика невелика, но ее может оказаться достаточно, чтобы вывести атакуемое приложение из строя.

Проведенное совместно с PhishLabs исследование показало, что злоумышленники массово задействуют уязвимые Joomla-сайты для проведения DDoS по типу отраженного GET flood, а также проводят такие атаки на заказ и добавили их в арсенал как минимум двух специализированных инструментов — DAVOSET и UFONet. Специалисты PLXsert обнаружили в Сети свыше 150 тыс. серверов, которые потенциально могут использоваться как Joomla-отражатели. Многие из них уже пропатчены, изменили конфигурацию, заблокированы или больше не используют плагин Google Maps, но остальные все еще открыты для злоупотреблений.

Как удалось определить, данная разновидность DDoS-атак прикладного уровня вошла в обиход с минувшего сентября и обычно применяется в комбинации с другими векторами. Так, на начало февраля PLXsert зафиксировала по клиентской базе Akamai восемь таких DDoS с Joomla-плечом, из них лишь одна представляла собой «чистый» GET flood. При этом наибольшее число Joomla-посредников, задействованных в этой атаке, имели германскую прописку (31,8% IP), несколько меньше было обнаружено на территории США (22,1%), остальные оказались размещенными на территории Польши, Голландии и Франции.

Использующие технику отражения дидосеры могут делать ставку на разные уязвимости и разные протоколы, но суть от этого не меняется. Мобилизуемые ими уязвимые устройства, коих, к сожалению, очень много в Интернете, послушно выполняют волю злоумышленников, помогая им скрывать источники атаки, усиливать мусорный трафик и направлять его на мишень. По данным PLXsert, техника отражения и усиления трафика использовалась в 39% DDoS-атак, зафиксированных по клиентской базе Akamai в четвертом квартале прошлого года.

Категории: DoS-атаки