A OVHcloud, provedora global de serviços de cloud e uma das maiores do seu tipo na Europa, afirmou ter mitigado um ataque de negação de serviço distribuído (DDoS) recorde no início deste ano, que alcançou uma taxa de pacotes sem precedentes de 840 milhões de pacotes por segundo (Mpps).
A companhia relata que observou uma tendência geral de aumento no tamanho dos ataques a partir de 2023, com aqueles ultrapassando 1 Tbps se tornando mais frequentes e escalando para ocorrências semanais e quase diárias em 2024.
Múltiplos ataques mantiveram taxas altas de bits e pacotes por períodos prolongados nos últimos 18 meses, sendo a maior taxa de bits registrada pela OVHcloud durante esse período de 2.5 Tbps em 25 de maio de 2024.
A análise de alguns desses ataques revelou a utilização extensiva de dispositivos de core network, particularmente modelos da Mikrotik, tornando os ataques mais impactantes e desafiadores de detectar e interromper.
No início deste ano, a OVHcloud teve que mitigar um ataque maciço de taxa de pacotes que alcançou 840 Mpps, superando o detentor do recorde anterior, um ataque DDoS de 809 Mpps direcionado a um banco europeu, o qual a Akamai mitigou em junho de 2020.
"Nossa infraestrutura teve que mitigar diversos ataques de 500+ Mpps no início de 2024, incluindo um que atingiu um pico de 620 Mpps," explica a OVHcloud.
Em abril de 2024, até mitigamos um ataque DDoS que quebrou recordes, atingindo aproximadamente 840 Mpps, apenas acima do recorde anterior reportado pela Akamai.
O provedor de serviços de cloud observou que o ataque TCP ACK originou-se de 5.000 IPs fonte.
Dois terços dos pacotes foram roteados através de apenas quatro Points of Presence (PoPs), todos nos Estados Unidos e três na Costa Oeste.
A habilidade do atacante de concentrar esse tráfego massivo por meio de um espectro relativamente estreito da infraestrutura da internet faz com que essas tentativas de DDoS se tornem mais formidáveis e mais difíceis de mitigar.
A OVHcloud diz que muitos dos ataques de alta taxa de pacotes que registrou, incluindo o ataque que quebrou o recorde em abril, originam-se de dispositivos MirkoTik Cloud Core Router (CCR) comprometidos, projetados para networking de alta performance.
A firma identificou, especificamente, modelos comprometidos CCR1036-8G-2S+ e CCR1072-1G-8S+, que são utilizados como cores de redes de pequeno a médio porte.
Muitos desses dispositivos expuseram sua interface online, operando com firmware desatualizado e tornando-os suscetíveis a ataques que exploram vulnerabilidades conhecidas.
A empresa de cloud hipotetiza que os atacantes possam usar o recurso "Bandwidth Test" do RouterOS da MikroTik, projetado para testes de estresse de throughput de rede, para gerar taxas altas de pacotes.
A OVHcloud encontrou quase 100.000 dispositivos Mikrotik alcançáveis/exploráveis pela internet, representando muitos alvos potenciais para os atores de DDoS.
Devido à alta capacidade de processamento dos dispositivos MikroTik, que apresentam CPUs de 36 núcleos, mesmo se uma pequena porcentagem desses 100k fosse comprometida, poderia resultar em uma botnet capaz de gerar bilhões de pacotes por segundo.
A OVHcloud calculou que sequestrar 1% dos modelos expostos em uma botnet poderia dar aos atacantes poder de fogo suficiente para lançar ataques, alcançando 2.28 bilhões de pacotes por segundo (Gpps).
Dispositivos MikroTik já foram utilizados para a construção de botnets poderosas no passado, com um caso notável sendo o botnet Mēris.
Apesar dos múltiplos avisos do fabricante aos usuários para atualizar o RouterOS para uma versão segura, muitos dispositivos permaneceram vulneráveis a ataques por meses, correndo o risco de serem alistados em enxames de DDoS.
A OVHcloud diz ter informado a MikroTik de suas últimas descobertas, mas não recebeu uma resposta.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...