Internet Storm Center института SANS сообщил об обнаружении SNMP-пакетов с адресом, подмененным на адрес публичного рекурсивного DNS-сервера Google. Пакеты используются для DDoS-атак на уязвимые маршрутизаторы и другие устройства, поддерживающие протокол SNMP.

«Адреса пакетов подменены так, будто они приходят с DNS-сервера Google. Тем не менее эта атака направлена не против Google. Скорее это атака на некорректно сконфигурированные шлюзы», — сказал Йоханнес Ульрих, главный исследователь технологического института SANS и глава Internet Storm Center.

Ульрих сообщил, что ISC все еще выясняет масштаб возможных атак, но добавил, что несколько пакетов содержат пароль по умолчанию, используемый SNMP. В обновлении поста Ульрих пишет, что сканирующие пакеты последовательны, это означает, что кто-то проводит сканирование всего Интернета в поисках уязвимых роутеров и устройств, могущих принимать определенные команды SNMP.

«Атака использует строку комьюнити для чтения и записи со значением «private». SNMP использует эту строку как пароль, и «private» — распространенное значение по умолчанию, — сказал Ульрих. — Для доступа только на чтение обычное значение по умолчанию «public».

Ульрих объяснил, что автор атаки пытается изменить конфигурационные переменные в устройстве, установить TTL (Time to Live, «время жизни») на 1, что блокирует исходящий трафик из шлюза, и установить переменную Forwarding на 2, что отключает соответствующую функцию. Уязвимые конфигурации, по словам Ульриха, встречаются нечасто.

«Если это работает, это равноценно [DDoS] против сети, использующей уязвимый роутер, — сказал Ульрих. — Это также может быть проверка «что случится, если я пошлю это?».

Широкомасштабные DDOS-атаки основаны на технике амплификации или отражения, чтобы увеличить объем трафика, направляемого на цель. Атаки через DNS с отражением — проверенное временем средство поражения сетей хакерами, использующими миллионы открытых DNS-резолверов, чтобы достичь степени усиления 100 к 1 для каждого отправленного байта. Ранее в этом году домашние роутеры уже подвергались DNS-атакам, более 5 млн роутеров было использовано только в феврале как стартовые точки DDoS-атак.

Ранее в этом году хакеры обнаружили слабое место в NTP-серверах, которые синхронизируют время для серверов во всем Интернете. DDoS-атаки по протоколу NTP вызвали отказ критических сервисов, достигая объема 400 Гбит/c. Срочное обновление ПО серверов позволило подавить эти атаки, и в июне компания NSFocus доложила, что из 430 тысяч уязвимых NTP-серверов, обнаруженных в феврале, все, кроме 17 тысяч, были пропатчены.

Эксперты предупреждают, что DDoS-атаки по протоколу SNMP могут быть следующей большой проблемой. Мэтью Принс, директор CloudFlare, в феврале сказал, что SNMP-атаки могут превзойти DNS и NTP.

«Если вы думаете, что NTP плох, просто подождите. SNMP теоретически может обеспечить 650-кратное усиление, — сказал Принс. — Мы уже начали получать свидетельства того, что злоумышленники экспериментируют с использованием этого протокола как вектора для DDoS. Пристегните ремни!»

В то же время Ульрих из SANS сообщил, что он продолжает исследовать атаку и администраторы должны ждать пакеты от IP 8.8.8.8 (DNS-сервер Google) на порт UDP 161.

«Так же как и другие протоколы на основе UDP (DNS и NTP), SNMP допускает запросы, ведущие к большим ответным сообщениям, что можно использовать для усиления атаки», — сказал Ульрих.

Категории: DoS-атаки, Уязвимости