VietNetwork.Vn

Cloudflare tiết lộ rằng họ đã giảm thiểu được một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phá kỷ lục, đạt đỉnh ở mức 3,8 terabit mỗi giây (Tbps) và kéo dài 65 giây.

Công ty bảo mật và cơ sở hạ tầng web này cho biết họ đã ngăn chặn "hơn một trăm cuộc tấn công DDoS L3/4 siêu khối lượng trong tháng trước, trong đó nhiều cuộc vượt quá 2 tỷ gói tin mỗi giây (Bpps) và 3 terabit mỗi giây (Tbps)".


Các cuộc tấn công DDoS L3/4 siêu khối lượng đã diễn ra từ đầu tháng 9 năm 2024, báo cáo lưu ý, đồng thời cho biết thêm rằng chúng nhắm vào nhiều khách hàng trong ngành dịch vụ tài chính, Internet và viễn thông. Hoạt động này không được quy cho bất kỳ tác nhân đe dọa cụ thể nào.

Kỷ lục trước đó về cuộc tấn công DDoS có khối lượng lớn nhất đạt thông lượng đỉnh là 3,47 Tbps vào tháng 11 năm 2021, nhắm vào một khách hàng Microsoft Azure giấu tên ở Châu Á.

Các cuộc tấn công lợi dụng giao thức User Datagram Protocol (UDP) trên một cổng cố định, với hàng loạt gói tin có nguồn gốc từ Việt Nam, Nga, Brazil, Tây Ban Nha và Hoa Kỳ. Trong số đó có các thiết bị MikroTik, DVR và máy chủ web bị xâm phạm.

Cloudflare cho biết các cuộc tấn công bitrate cao có khả năng xuất phát từ một mạng botnet lớn bao gồm các bộ định tuyến gia đình ASUS bị nhiễm độc, được khai thác bằng lỗ hổng nghiêm trọng mới được tiết lộ ( CVE-2024-3080, điểm CVSS: 9,8).

Theo số liệu thống kê được chia sẻ bởi công ty quản lý bề mặt tấn công Censys, tính đến ngày 21 tháng 6 năm 2024, có hơn 157.000 mẫu bộ định tuyến ASUS có khả năng bị ảnh hưởng bởi lỗ hổng bảo mật này. Phần lớn các thiết bị này nằm ở Hoa Kỳ, Hồng Kông và Trung Quốc.


Theo Cloudflare, mục tiêu cuối cùng của chiến dịch là làm cạn kiệt băng thông mạng cũng như chu kỳ CPU của mục tiêu, do đó ngăn chặn người dùng hợp pháp truy cập vào dịch vụ.

Công ty cho biết: "Để chống lại các cuộc tấn công có tốc độ gói tin cao, bạn cần có khả năng kiểm tra và loại bỏ các gói tin xấu bằng cách sử dụng càng ít chu kỳ CPU càng tốt, để lại đủ CPU để xử lý các gói tin tốt".


"Nhiều dịch vụ đám mây có dung lượng không đủ, cũng như việc sử dụng thiết bị tại chỗ, không đủ khả năng chống lại các cuộc tấn công DDoS ở quy mô này, vì việc sử dụng băng thông cao có thể làm tắc nghẽn các liên kết Internet và do tốc độ gói tin cao có thể làm sập các thiết bị nội tuyến."

Ngân hàng, dịch vụ tài chính và tiện ích công cộng là mục tiêu nóng của các cuộc tấn công DDoS, đã tăng 55% trong bốn năm qua, theo công ty giám sát hiệu suất mạng NETSCOUT. Chỉ riêng trong nửa đầu năm 2024, đã có sự gia tăng 30% trong các cuộc tấn công khối lượng.

Sự gia tăng tần suất các cuộc tấn công DDoS, chủ yếu là do các hoạt động hacktivist nhắm vào các tổ chức và ngành công nghiệp toàn cầu, cũng kết hợp với việc sử dụng DNS qua HTTPS (DoH) để chỉ huy và kiểm soát (C2) nhằm mục đích gây khó khăn cho việc phát hiện.

NETSCOUT cho biết: "Xu hướng triển khai cơ sở hạ tầng C2 botnet phân tán, tận dụng bot làm nút điều khiển, làm phức tạp thêm các nỗ lực phòng thủ vì không chỉ hoạt động DDoS đến mà còn cả hoạt động đi của các hệ thống bị nhiễm bot cũng cần được phân loại và chặn ".

Sự phát triển này diễn ra khi Akamai tiết lộ rằng lỗ hổng Common UNIX Printing System (CUPS) mới được tiết lộ trong Linux có thể là một phương tiện khả thi để thực hiện các cuộc tấn công DDoS với hệ số khuếch đại gấp 600 lần chỉ trong vài giây.

Phân tích của công ty phát hiện ra rằng hơn 58.000 (34%) trong số khoảng 198.000 thiết bị có thể truy cập trên Internet công cộng có thể được sử dụng để thực hiện các cuộc tấn công DDoS.

Các nhà nghiên cứu Larry Cashdollar, Kyle Lefton và Chad Seaman cho biết : "Vấn đề phát sinh khi kẻ tấn công gửi một gói tin được tạo sẵn chỉ rõ địa chỉ của mục tiêu là máy in cần thêm vào".


"Với mỗi gói tin được gửi đi, máy chủ CUPS dễ bị tấn công sẽ tạo ra một yêu cầu IPP/HTTP lớn hơn và do kẻ tấn công kiểm soát một phần, hướng đến mục tiêu đã chỉ định. Kết quả là, không chỉ mục tiêu bị ảnh hưởng mà máy chủ của máy chủ CUPS cũng trở thành nạn nhân, vì cuộc tấn công sẽ tiêu tốn băng thông mạng và tài nguyên CPU của mục tiêu đó."

Censys cho biết ước tính có khoảng 7.171 máy chủ có dịch vụ CUPS được cung cấp qua TCP và dễ bị tấn công bởi CVE-2024-47176, đồng thời gọi đây là con số ước tính thấp vì "có vẻ như nhiều dịch vụ CUPS có thể truy cập qua UDP hơn là TCP".

Các tổ chức được khuyên nên cân nhắc xóa CUPS nếu chức năng in không cần thiết và tường lửa cho các cổng dịch vụ (UDP/631) trong trường hợp có thể truy cập chúng từ Internet rộng lớn hơn.