OVHcloud culpa ataque DDoS recorde de botnet MikroTik
OVHcloud, um provedor global de serviços em nuvem e um dos maiores do gênero na Europa, diz que mitigou um ataque de negação de serviço distribuído (DDoS) no início deste ano que atingiu uma taxa de pacotes sem precedentes de 840 milhões de pacotes por segundo (MPps).
A empresa relata que viu uma tendência geral de aumento dos tamanhos de ataque a partir de 2023, com aqueles que excedem 1 Tbps se tornando mais frequentes e aumentando para ocorrências semanais e quase diárias em 2024.
Vários ataques sustentaram altas taxas de bits e taxas de pacotes durante longos períodos nos últimos 18 meses, com a maior taxa de bits registrada pela OVHcloud durante esse período sendo 2,5 Tbps em 25 de maio, 2024.
A análise de alguns desses ataques revelou o uso extensivo de dispositivos de rede principais, particularmente modelos Mikrotik, tornando os ataques mais impactantes e desafiadores de detectar e parar.
DDoS recorde
No início deste ano, a OVHcloud teve que mitigar um ataque maciço de taxa de pacotes que atingiu 840 Mpps, superando o recordista anterior, um Ataque DDoS de 809 Mpps contra um banco europeu, que a Akamai mitigou em junho de 2020.
“Nossa infraestrutura teve que mitigar vários ataques de 500+ Mpps no início de 2024, incluindo um pico de 620 Mpps,” explica OVHcloud.
“Em abril de 2024, até mitigamos um ataque DDoS recorde atingindo ~840 Mpps, logo acima do recorde anterior relatado pela Akamai.”
O provedor de serviços em nuvem observou que o ataque TCP ACK originou-se de 5.000 IPs de origem. Dois terços dos pacotes foram encaminhados através de apenas quatro Pontos de Presença (PoPs), todos nos Estados Unidos e três na Costa Oeste.
A capacidade do invasor de concentrar esse tráfego maciço através de um espectro relativamente estreito de infraestrutura de internet torna essas tentativas de DDoS mais formidáveis e mais desafiadoras de mitigar.
Mikrotiks Poderoso culpado
A OVHcloud diz que muitos dos ataques de alta taxa de pacotes que registrou, incluindo o ataque recorde de abril, se originam de dispositivos comprometidos MirkoTik Cloud Core Router (CCR) projetados para redes de alto desempenho.
A empresa identificou, especificamente, os modelos comprometidos CCR1036-8G-2S+ e CCR1072-1G-8S+, que são utilizados como pequenos—para núcleos de rede de médio porte.
Muitos desses dispositivos expuseram sua interface on-line, executando firmware desatualizado e tornando-os suscetíveis a ataques, aproveitando explorações para vulnerabilidades conhecidas.
A empresa de nuvem supõe que os invasores podem usar o recurso “Bandwidth Test” do RouterOS da MikroTik, projetado para testes de estresse de taxa de transferência de rede, para gerar altas taxas de pacotes.
A OVHcloud encontrou cerca de 100.000 dispositivos Mikrotik que podem ser alcançados/explorados através da Internet, constituindo muitos alvos potenciais para intervenientes DDoS.
Devido ao alto poder de processamento dos dispositivos MikroTik, que possuem CPUs de 36 núcleos, mesmo que uma pequena porcentagem desses 100k fosse comprometida, isso poderia resultar em uma botnet capaz de gerar bilhões de pacotes por segundo.
A OVHcloud calculou que o sequestro de 1% dos modelos expostos para uma botnet poderia dar aos atacantes poder de fogo suficiente para lançar ataques, atingindo 2,28 mil milhões de pacotes por segundo (Gpps).
Os dispositivos MikroTik foram aproveitados novamente para construir botnets poderosos no passado, com um caso notável sendo o botnet Mēris.
Apesar dos vários avisos do fornecedor aos usuários para atualizarem o RouterOS para uma versão segura, muitos dispositivos permaneceram vulneráveis a ataques durante meses, correndo o risco de serem alistados em enxames DDoS.
A OVHcloud afirma que informou a MikroTik sobre suas últimas descobertas, mas não recebeu resposta.