Ciberseguridad 360 | OVHcloud sufre un ataque DDoS mediante routers MikroTik

La empresa francesa de cloud computing OVHcloud ha declarado que ha mitigado un ataque de denegaci�n de servicio distribuido (DDoS) que bati� un r�cord en abril de 2024 y que alcanz� una tasa de paquetes de 840 millones de paquetes por segundo (Mpps).

Esta cifra est� justo por encima del r�cord anterior de 809 millones de Mpps que, seg�n Akamai, tuvo como objetivo un gran banco europeo en junio de 2020.

Se dice que el ataque DDoS de 840 Mpps fue una combinaci�n de una inundaci�n TCP ACK que se origin� desde 5.000 IP de origen y un ataque de reflexi�n DNS que aprovech� unos 15.000 servidores DNS para amplificar el tr�fico.

"Aunque el ataque se distribuy� por todo el mundo, 2/3 del total de paquetes entraron desde s�lo cuatro puntos de presencia, todos ellos situados en Estados Unidos, tres de ellos en la costa oeste", se�ala OVHcloud. "Esto pone de relieve la capacidad del adversario para enviar una enorme tasa de paquetes a trav�s de s�lo unos pocos peerings, lo que puede resultar muy problem�tico".

La empresa afirma haber observado un aumento significativo de los ataques DDoS, tanto en t�rminos de frecuencia como de intensidad, a partir de 2023, y a�ade que los que superan 1 terabit por segundo (Tbps) se han convertido en algo habitual.

"En los �ltimos 18 meses, hemos pasado de ataques de m�s de 1 Tbps bastante raros, a ataques semanales, a ataques casi diarios (promediados en una semana)", afirma Sebastien Meriot, de OVHcloud. "La tasa de bits m�s alta que observamos durante ese per�odo fue de ~2,5 Tbps".

A diferencia de los ataques DDoS t�picos que se basan en el env�o de una avalancha de tr�fico basura a los objetivos con el objetivo de agotar el ancho de banda disponible, los ataques de tasa de paquetes funcionan sobrecargando los motores de procesamiento de paquetes de los dispositivos de red cercanos al destino, como los equilibradores de carga.

Los datos recopilados por la compa��a muestran que los ataques DDoS que aprovechan velocidades de paquetes superiores a 100 Mpps han experimentado un fuerte aumento durante el mismo per�odo de tiempo, y muchos de ellos emanan de dispositivos MikroTik Cloud Core Router (CCR) comprometidos. Hasta 99.382 routers MikroTik son accesibles a trav�s de Internet.

Estos routers, adem�s de exponer una interfaz de administraci�n, funcionan con versiones obsoletas del sistema operativo, lo que los hace susceptibles a vulnerabilidades de seguridad conocidas en RouterOS. Se sospecha que las amenazas est�n utilizando la funci�n de prueba de ancho de banda del sistema operativo para llevar a cabo los ataques.

Se estima que incluso el secuestro del 1% de los dispositivos expuestos en una red de bots DDoS podr�a te�ricamente dar a los adversarios suficientes capacidades para lanzar ataques de capa 7 que alcancen los 2.280 millones de paquetes por segundo (Gpps).

Cabe se�alar que los routers MikroTik se han utilizado para crear potentes redes de bots como M?ris e incluso para lanzar operaciones de botnet como servicio.

"Dependiendo del n�mero de dispositivos comprometidos y de sus capacidades reales, esta podr�a ser una nueva era para los ataques de velocidad de paquetes: con redes de bots posiblemente capaces de emitir miles de millones de paquetes por segundo, podr�a desafiar seriamente la forma en que se construyen y escalan las infraestructuras anti-DDoS", dijo Meriot.

Fuente: thehackernews