Cloudflare ha svelato di essere riuscita a sventare il più grande attacco DDoS da 3,8 Tbps mai registrato, durato 65 secondi e rivolto a diversi settori sparsi in tutto il mondo. Nel solo mese di settembre, la compagnia di sicurezza web ha dovuto affrontare almeno un centinaio di attacchi DDoS contraddistinti da 2 miliardi di pacchetti al secondo (Bpps) e 3 terabite al secondo, che avevano come obiettivi servizi finanziari, provider di internet e diverse aziende del settore delle telecomunicazioni.
Clouflare e gli attacchi DDoS
L’ultima volta che l’azienda aveva avuto a che fare con un attacco di grosse dimensioni è stato nel novembre 2021, anche se in quel caso l’obiettivo dei criminali era solo uno, un innominato cliente di Microsoft Azure in Asia. A quanto pare non è stato ancora individuato il colpevole dell’attacco appena sventato, ma sembra che i 2 miliardi di pacchetti provengano da Vietnam, Russia, Brasile, Spagna e Stati Uniti.
Secondo Cloudflare, l’attacco sarebbe poi stato perpetrato da una botnet che comprende dei router ASUS infettati tramite una falla di sistema scoperta di recente, la (CVE-2024-3080, CVSS score: 9.8). Stando a Censys, ben 157.000 router di ASUS presentano quella falla, con la maggior parte di essi provenienti da Stati Uniti, Cina e Hong Kong. Nell’attacco sarebbe comunque stati compromessi dispositivi MikroTik, DVRs e server web.
Cloudflare è riuscita a sventare l’attacco utilizzando pochi cicli di CPU, in modo che essa possa processare i pacchetti buoni. I servizi in cloud con capacità insufficienti non sono infatti adatti per difendersi da questi attacchi di grandi dimensioni, a causa dell’elevato utilizzo della banda larga che può intasare i collegamenti Internet e a causa dell’alta velocità dei pacchetti che può mandare in crash le apparecchiature in linea.
Solo quest’anno attacchi simili sono aumentati del 30%, e adesso pure i dispositivi Linux possono essere sfruttati per perpetrarli. I ricercatori Larry Cashdollar, Kyle Lefton e Chad Seaman hanno spiegato che i problemi sorgono quando un malintenzionato manda pacchetti modificati che specificano gli indirizzi delle vittime, e per ogni pacchetto simile, i server CUPS genereranno una richiesta IPP/HTTP controllata dagli hacker. In questo modo anche il server diventa una vittima dei malintenzionati.
