19 marzo 2015

El Alquiler de Ataques DDoS Invade las Aplicaciones SaaS como Joomla

Los nuevos ataques y herramientas DDoS usan el plugin de Google Maps como proxy para ocultar la identidad del atacante



· La advertencia de amenaza comparte la mitigación de DDoS para ayudar a las empresas a detener los ataques DDoS



Madrid, 10 de marzo de 2015 - Akamai Technologies, Inc. (NASDAQ: AKAM), líder global en servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), ha publicado a través del Equipo de Respuesta e Ingeniería de Seguridad de Prolexic (PLXsert) en colaboración con la R.A.I.D (División de Investigación, Análisis e Inteligencia) de PhishLabs, una nueva advertencia de amenaza a la seguridad cibernética. La advertencia alerta a las empresas y a los proveedores de Software-as-a-Service (SaaS) de atacantes que usan los servidores de Joomla con un plugin de Google Maps vulnerable instalado como plataforma para lanzar ataques de denegación de servicio distribuido (DDoS). Se puede descargar la advertencia en www.stateoftheinternet.com/joomla-reflection.

"Las vulnerabilidades de las aplicaciones web alojadas por proveedores de Software-as-a-Service siguen proporcionando munición a los delincuentes emprendedores. Ahora se están apoderando de un plugin vulnerable de Joomla para el que han inventado un nuevo ataque DDoS y herramientas de ‘DDoS-for-hire’ (DDoS para alquilar)," afirmó Stuart Scholly, Vicepresidente Senior y Director General de la Unidad de Negocio de Seguridad de Akamai. "Esta es una vulnerabilidad de aplicación web más dentro de un mar de vulnerabilidades, sin final a la vista. Las empresas deben tener un plan de protección DDoS en vigor para mitigar el tráfico de denegación de servicio que se origina en los millones de servidores de SaaS basados en la nube que se pueden utilizar para DDoS."

La vulnerabilidad en el plugin de Google Maps para Joomla hace posibles los ataques DDoS

Una vulnerabilidad conocida en un plugin de Google Maps para Joomla hace posible que el plugin actúe como un proxy. Un proxy es un servidor intermedio que procesa una solicitud y devuelve el resultado en nombre de otra persona. El plugin vulnerable de Google Maps permite que se puedan utilizar los servidores de Joomla que lo usan como un proxy. Los atacantes pueden burlar (simular) el origen de las solicitudes, lo que hace que los resultados se envíen desde el proxy a otra persona, el objetivo al que va dirigida la denegación de servicio. El verdadero origen del ataque sigue siendo desconocido, porque parece que el tráfico de ataque se origina en los servidores de Joomla.

Con la colaboración de la R.A.I.D de PhishLabs, PLXsert se enfrentó al tráfico característico DDoS originado en múltiples sitios de Joomla, lo que indica que se están utilizando instalaciones vulnerables en masa para inundaciones GET reflejadas, un tipo de ataque DDoS. El tráfico y los datos de ataque observados sugieren que el ataque se ofrece en sitios de DDoS para alquilar conocidos.

PLXsert pudo identificar más de 150.000 posibles reflectores de Joomla en Internet. Aunque parece que muchos servidores han sido parcheados, reconfigurados, bloqueados o se les ha desinstalado el plugin, otros siguen siendo vulnerables para usar en este ataque DDoS.

Detalles de un ataque DDoS mitigado

En noviembre, PLXsert mitigó un ataque DDoS de este tipo en nombre de un cliente de Akamai. La mayoría de las principales direcciones IP atacantes procedían de Alemania. Las mismas direcciones IP que participaron en este ataque han participado en ataques DDoS contra otros clientes de Akamai de los sectores de alojamiento, entretenimiento y bienes de consumo.

La mitigación de DDoS multicapa protege frente a los ataques DDoS de reflejo

Los ataques DDoS basados en reflexión de muchos tipos son famosos en la actualidad. En el cuarto trimestre de 2014, PLXsert de Akamai observó que el 39 por ciento de todo el tráfico de ataque DDoS empleaba técnicas de reflexión. Todos los ataques DDoS de reflexión se aprovechan de un protocolo de Internet o de una vulnerabilidad de la aplicación que permite a los atacantes DDoS reflejar el tráfico malicioso del servidor o dispositivo de un tercero, ocultando su identidad y amplificando la cantidad de tráfico de ataque en el proceso.

La mitigación de ataques DDoS basados en la nube puede combatir este problema para proteger a las organizaciones del tráfico malicioso. Los centros de seguridad y limpieza basados en el Edge detienen el tráfico de ataque DDoS mucho antes de que afecte al sitio web o al centro de datos de un cliente.

Consiga la Advertencia de Amenaza de DDoS para Alquilar por Reflexión de Joomla para más información

En esta advertencia, PLXsert comparte su análisis y detalles, que incluyen:



· Uso de GET flood en la reflexión de Joomla

· Qué buscar: Tres cargas de muestra

· Ataques de la herramienta DDoS DAVOSET

· Ataques de la herramienta DDoS de UFONet

· Solicitudes de GET flood registradas durante un ataque

· Distribución geográfica del tráfico de origen

· Tres procedimientos de mitigación DDoS para detener ataques DDoS de este tipo

Puede descargar una copia de cortesía de la advertencia de amenaza en www.stateoftheinternet.com/joomla-reflection.

No hay comentarios:

Publicar un comentario en la entrada