Cloudflare cho biết: các cuộc L3/4 đã diễn ra từ đầu tháng 9/2024, chúng nhắm vào nhiều khách hàng trong ngành Dịch vụ tài chính, Internet và Viễn thông. Tuy nhiên, hoạt động này không được quy cho bất kỳ tác nhân đe dọa cụ thể nào.
Kỷ lục trước đó về cuộc tấn công DDoS có băng thông lớn nhất đạt thông lượng đỉnh là 3,47 Tbps vào tháng 11/2021, nhắm vào một khách hàng của Microsoft Azure giấu tên ở Châu Á.
Các cuộc tấn công lợi dụng giao thức User Datagram Protocol (UDP) trên một cổng cố định, gửi hàng loạt gói tin có nguồn gốc từ Việt Nam, Nga, Brazil, Tây Ban Nha và Hoa Kỳ. Trong số đó có các thiết bị MikroTik, DVR và máy chủ web bị xâm phạm.
Cloudflare cho biết các cuộc tấn công bitrate cao có khả năng xuất phát từ một lớn bao gồm các bộ định tuyến gia đình ASUS bị nhiễm độc, được khai thác thông qua lỗ hổng nghiêm trọng mới được tiết lộ CVE-2024-3080 (điểm CVSS: 9,8).
Theo số liệu thống kê được chia sẻ bởi Công ty an ninh mạng Censys, tính đến ngày 21/6/2024, có hơn 157.000 có khả năng bị ảnh hưởng bởi lỗ hổng bảo mật này. Phần lớn các thiết bị này nằm ở Hoa Kỳ, Hồng Kông và Trung Quốc.
Theo Cloudflare, mục tiêu cuối cùng của chiến dịch là làm cạn kiệt băng thông mạng cũng như chu kỳ của mục tiêu, qua đó ngăn chặn người dùng hợp pháp có thể truy cập vào dịch vụ.
Công ty cho biết: "Để chống lại các cuộc tấn công có băng thông cao, hệ thống cần có khả năng kiểm tra và loại bỏ các gói tin xấu bằng cách sử dụng càng ít chu kỳ CPU càng tốt, để lại đủ lượng băng thông CPU cần thiết để xử lý các gói tin tốt. Nhiều có dung lượng không đủ, cũng như việc sử dụng thiết bị tại chỗ sẽ không đủ khả năng để chống lại các cuộc tấn công DDoS ở quy mô lớn này. Việc tin tặc sử dụng băng thông cao có thể làm tắc nghẽn các liên kết Internet và do tốc độ gói tin cao có thể làm sập các thiết bị nội tuyến".
Ngành , Dịch vụ tài chính và Tiện ích công cộng là mục tiêu nóng của các cuộc tấn công DDoS, số lượng các cuộc tấn công đã tăng 55% trong bốn năm qua. Sự gia tăng tần suất các cuộc tấn công DDoS, chủ yếu là do các hoạt động hacktivist nhắm vào các tổ chức và ngành công nghiệp toàn cầu, kết hợp với việc sử dụng qua HTTPS (DoH) để điều khiển và kiểm soát (C2) nhằm mục đích gây khó khăn cho việc phát hiện.
Xu hướng triển khai cơ sở hạ tầng C2 botnet phân tán, tận dụng bot làm nút điều khiển, làm phức tạp thêm các nỗ lực phòng thủ, vì không chỉ hoạt động DDoS mà cả hoạt động của các hệ thống bị nhiễm bot cũng cần được phân loại và ngăn chặn.
Sự phát triển này diễn ra khi lỗ hổng Common UNIX Printing System (CUPS) mới được tiết lộ trong có thể là một phương tiện khả thi để thực hiện các cuộc tấn công DDoS với hệ số khuếch đại gấp 600 lần chỉ trong vài giây.
Phân tích của công ty phát hiện ra rằng hơn 58.000 (34%) trong số khoảng 198.000 thiết bị có thể truy cập trên Internet công cộng có thể được sử dụng để thực hiện các cuộc tấn công DDoS.
Các nhà nghiên cứu an ninh mạng Larry Cashdollar, Kyle Lefton và Chad Seaman cho biết: "Vấn đề phát sinh khi kẻ tấn công gửi một gói tin được tạo sẵn chỉ rõ địa chỉ của mục tiêu là máy in nối mạng cần thêm vào. Với mỗi gói tin được gửi đi, máy chủ CUPS dễ bị tấn công sẽ tạo ra một yêu cầu IPP/HTTP lớn hơn do kẻ tấn công kiểm soát một phần, hướng đến mục tiêu đã chỉ định. Kết quả là, không chỉ mục tiêu bị ảnh hưởng mà máy chủ của CUPS cũng trở thành nạn nhân, vì cuộc tấn công sẽ tiêu tốn băng thông mạng và tài nguyên CPU của mục tiêu đó".
Censys cho biết, ước tính có khoảng 7.171 máy chủ có dịch vụ CUPS được mở qua TCP và dễ bị tấn công bởi CVE-2024-47176, đồng thời gọi đây là con số ước tính thấp vì thực tế có vẻ như nhiều dịch vụ CUPS có thể truy cập qua UDP hơn là TCP.
Các tổ chức được khuyên nên cân nhắc xóa CUPS nếu chức năng in không cần thiết và cho các cổng dịch vụ (UDP/631) trong trường hợp có thể truy cập chúng từ Internet.
Nguyệt Thu
(Theo thehackernews)
15:00 | 25/07/2023
15:00 | 15/07/2024
09:00 | 08/06/2023
09:00 | 08/10/2024
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
10:00 | 02/10/2024
Công ty Ivanti (Hoa Kỳ) tiết lộ một lỗ hổng bảo mật mới được vá trong Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đã bị tin tặc khai thác tích cực trong thực tế.
10:00 | 01/10/2024
MoneyGram, công ty cung cấp dịch vụ chuyển tiền lớn thứ hai thế giới đã xác nhận bị tấn công mạng sau nhiều ngày người dùng gặp sự cố và phàn nàn về dịch vụ. Sự cố bắt đầu từ ngày 20/9 khiến người dùng không thể nhận tiền hay xử lý giao dịch, website cũng không thể truy cập.
15:00 | 20/09/2024
Nhóm tin tặc tấn công có chủ đích liên quan đến Trung Quốc, được biết đến với tên gọi Mustang Panda, đã bị phát hiện sử dụng phần mềm Visual Studio Code như một phần của hoạt động gián điệp nhắm vào các chính phủ ở khu vực Đông Nam Á.
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
09:00 | 11/10/2024