安全研究人员最近发现了大量利用Joomla Google地图插件漏洞进行的反射DDoS攻击。
来自Akamai科技安全工程及响应团队(Prolexic Security Engineering & Response Team, PLXsert)的研究人员发现Google地图插件中的一个漏洞,能够让攻击者将安装Google地图插件的Joomla服务器变成用于DDoS的工具。令人担心的是,这个被取名为“Joomla反射DDoS攻击”的方法成本非常低,非常容易运行。
Joomla反射DDoS
反射DDoS似乎成为了DDoS攻击者们的新时尚。2014年第四季度,Akamai观察到39%的DDoS攻击流量是使用的反射方法,这种方法利用了某种网络协议或者是程序漏洞,能够让DDoS攻击者将恶意流量反射到第三方服务器或者设备上。分布式反射拒绝服务攻击对地下罪犯非常常见。
黑客利用了一个Joomla(一套在国外相当知名的内容管理系统)Google地图插件中的漏洞进行攻击,这个漏洞在2014年初被发现。
“2014年2月,Joomla的Google地图插件中的多个漏洞被发现。其中一个漏洞能够让插件充当代理。有漏洞的服务器被一起用作DAVOSET和UFONet等工具发动的反射攻击。”
报告中称:
DAVOSET发动Joomla反射DDoS攻击非常有效,软件包含一份存在Google地图插件漏洞能被利用的服务器列表。DAVOSET还能让用户使用他们自己的反射服务器,程序很容易配置:每个反射服务器的请求数量、使用的代理服务器配置等。UFONet是另一款能够被用来进行反射攻击的工具,也非常容易进行Joomla反射DDoS。
“和DAVOSET一样,它使用了web界面和点击式的配置。这些界面友好的特点能让攻击者非常轻易地配置代理(如:Tor)、定制header,和其他攻击选项。图二展示了攻击如何配合代理进行,图三展示了工具的界面。”
图二
图三
Akamai的研究人员发现大量Joomla网站自2014年9月被黑客滥用,成为肉鸡。近150,000存在漏洞的网站能被用作Joomla反射攻击:
“攻击包含的流量中的签名符合提供雇佣DDoS服务的网站上的签名,犯罪分子似乎使用了专门滥用XML和Open Redirect函数的工具进行攻击,这种攻击造成的反射response能能够被定向到目标机器并导致拒绝服务。这些工具正快速的流行起来并被‘雇佣DDoS’市场修改、升级。”
攻击来源
Akamai确认这种攻击2015年仍在进行,攻击流量的主要来源是德国(31.8%),美国(22.1%)和波兰(17.9%)。
防御基于云的DDoS攻击
这份报告中还附上了用于抵御Joomla反射DDoS攻击的Snort规则,专家还建议拟定一份DDoS防御计划,因为这种攻击越来越常见了。
Akamai安全事务部门高级副总裁兼总经理Stuart Scholly称:
“SaaS(Software-as-a-service,软件即服务)服务提供商提供的web应用中的漏洞为网络犯罪集团提供了条件。大量的漏洞犹如茫茫大海,这个漏洞是其中又一个web应用漏洞,非常难以找寻。企业得要拟定一份DDoS防御方案,以抵御无数基于云的SaaS服务器被用来进行拒绝服务攻击的流量。”