HPE entre los líderes de almacenamiento de Gartner
Continúa el auge de los ataques DDoS.
Los atacantes están usando cada vez más equipos configurados para responder públicamente a pedidos SNMP (Simple Network Management Protocol) en la internet para amplificar ataques DDoS (distributed denial of service attacks).
Esta técnica de amplificación, que también es conocida como reflexión, puede en teoría trabajar con cualquier protocolo que es vulnerable a ataques a través de direcciones IP y puede generar muchas respuestas a pocas búsquedas. Los atacantes pueden crear pedidos que parecen originar de una dirección IP de una de las víctimas para engañar a los servidores que aceptan pedidos a través de protocolos de internet para inundar a la víctima con data..
Muchos ataques DDoS en el pasado han usado servidores DNS y NTP para hacer estas amplificaciones. Sin embargo, los equipos que soportan SNMP, un protocolo diseñado para permitir el monitoreo de equipos conectados a las redes, puede ser atacado también si el servicio SNMP está expuesto directamente a la internet. Los equipos permitidos por SNMP con dichas configuraciones pueden ser encontrados en escenarios de negocios y domésticos y pueden incluir impresoras, switches, firewalls y routers.
Desde el 11 de abril, el Prolexic Security Engineering Response Team (PLXsert) que es hoy parte de Akamai Technologies, ha identificado 14 campañas separadas de DDoS que usan la reflexión SNMP.
Casi la mitad de los SNMP maliciosos reflejaron tráfico que venía de direcciones IP de los Estados Unidos y un 18 por ciento, de China, según dijo PLXsert en un reporte publicado el jueves. “Los ataques se enfocaban en clientes de las siguientes industrias: bienes para el consumidor, videojuegos, hosting, organizaciones sin fines de lucro y SaaS”.
Los ataques de amplificación por SNMP no son nuevos, dice Sean Power, gerente de operaciones de seguridad en DOSarrest Internet Securuty, a través de un correo el viernes. “El tráfico legítimo de SNMP no tiene necesidad de dejar tu red y debería ser prevenido de hacerlo. Este ataque existe porque muchas organizaciones fallan en prevenirlo”.
Es importante para los dueños de las redes que bloqueen los servicios que pueden usar para la reflexión de DDoS y de amplificación, como DNS, SNMP, NTP y voz sobre IP. Esto “es parte de ser un buen ciudadano en la internet”, dijo Tom Cross, director de investigación de seguridad para Lanscope, en un correo.
Fuente: CIO / Lucian Constantin / 23-05-2014
