¿Se requiere un replanteamiento de cómo hacer frente a los ataques DDoS?

  • Cloud

Imperva muestra evidencias de un nuevo tipo de ataque de amplificación DDoS para el que asegura que muchas empresas no estarían preparadas.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Nuevo método de ataque DDoS exige un nuevo enfoque para la mitigación de ataques de amplificación. Así se titula un post publicado por Imperva dedicado a un nuevo método de ataque DDoS que abusa de un conocido exploit de protocolo UPnP (Universal Plug and Play) no parcheado, en el que la compañía evidencia la existencia de cargas útiles con datos de puerto fuente irregulares, “algo que pocos en nuestra industria consideran posible y aún menos están preparados para ella”.

Explica la compañía que los vectores de ataque de amplificación son algunas de las herramientas más comúnmente utilizadas en el arsenal del atacante DDoS. En el último trimestre de 2017, se ha visto la amplificación NTP empleada en aproximadamente el 33% de todos los ataques DDoS contra los clientes de Imperva, mientras que los vectores de amplificación DNS y SSDP fueron protagonistas en el 17% y el 13,7% de los ataques, respectivamente.

Esos vectores de amplificación permiten lanzar ataques de gran ancho de banda sin necesidad de grandes recursos. Aunque en realidad, que los servicios de mitigación hayan escalado hasta el punto de que ese ancho de banda haya dejado de ser un gran problema. Dicen también desde Imperva que los encabezados del puerto de origen para las cargas útiles de amplificación siguen un patrón que es fácilmente identificable; “por ejemplo, bloquear todos los paquetes con el puerto de origen 53 se considera un método probado para mitigar los ataques de amplificación de DNS”. Y es a continuación cuando lo expertos de Imperva hablan de evidencias de cargas útiles con puerto de origen irregular, de proporcionar una Prueba de Concepto para “un método que podría haberse utilizado para lanzar el ataque y de evidencia de otro ataque con características similares detectadas en la naturaleza”.

Las implicaciones de estos descubrimientos son amplias, dice también la compañía en el post, porque en base a ellos los proveedores deberían replantearse cómo hacer frente a los ataques DDoS amplificados.

Antes de entrar de lleno en el método de ataque analizado por Imperva, que puede seguirse en el post, explica la compañía que es posible gracias a un exploit de protocolo UPnP (Universal Plug and Play) conocido, pero aún no resuelto. “UPnP es un protocolo de red que opera sobre el puerto UDP 1900 para el descubrimiento de dispositivos y un puerto TCP elegido arbitrariamente para el control del dispositivo. El protocolo es comúnmente utilizado por los dispositivos IoT (por ejemplo, computadoras, enrutadores o impresoras) para descubrir la presencia de los demás y comunicarse a través de una LAN”, avanzan los expertos de seguridad.

 

TAGS