CloudFlare成功阻挡高达2Tbps的DDoS攻击 背后依然是Mirai蠕虫变种
2016年10月有黑客利用Mirai物联网蠕虫控制数以百万计的物联网设备向美国DNS服务商DYN发起攻击,攻击发生后美国东海岸多个知名网站无法访问,这次Mirai一战成名。
在之后的几年里Mirai出现无数变种版本,这些变种核心功能都是利用内置的密码组合感染物联网设备,其中最多的就是摄像头,某些摄像头使用默认账户密码从未修改因此很容易遭到感染。
今天,CloudFlare发布博文介绍该公司最新拦截的DDoS攻击,这次攻击的瞬时流量接近2Tbps,大约由15000个机器人发起。这些机器人位于物联网设备和没有安装补丁的GitLab实例,而机器人背后依然是Mirai。
早前有安全公司发现GitLab存在漏洞,这枚漏洞的CVSS评分高达10分/满分10分。若成功利用漏洞则可以直接入侵GitLab实例所在的服务器并运行任意代码,例如用来运行Mirai这类蠕虫病毒。由于漏洞细节已经被公开,开采这些漏洞的黑客会越来越多。扫描显示目前全网60000个暴露在公网上的GitLab实例里有一半没有打补丁。
而此次CloudFlare拦截的攻击就有很多被感染的GitLab实例,Mirai变种感染这些实例后组成僵尸网络发起攻击。15000个机器人难以直接发起高达2Tbps的攻击,CloudFlare分析后认为这是一次多载体攻击,机器人可能结合DNS放大攻击并使用UDP洪水等。
一个不好的势头是CloudFlare观察到网络层的DDoS攻击在第三季度出现显著增长,虽然第四季度还没结束但现在CloudFlare已经注意到大型DDoS的次数正在增加。
早前微软也在欧洲帮助Microsoft Azure客户拦截2.4Tbps的DDoS攻击,这可能是有记录以来的峰值最高的攻击。尽管微软和CloudFlare都没有透露被攻击客户的细节,但按以往经验来看此类攻击通常都是利益相关的,比较典型的是黑客利用攻击来勒索目标受害者。
此次CloudFlare在10秒左右就成功缓解攻击,但这种增长势头令人不安,暴露在公网上的GitLab未修复实例和其他物联网设备始终都是定时炸弹。发现相关漏洞的网络安全公司Rapid7表示使用GitLab实例的用户应该尽快安装补丁,毕竟GitLab实例本身就不应该直接暴露在公网上。