Cloudflare, 3,8 terabit/saniye (Tbps) zirvesine ulaşan ve 65 saniye süren rekor seviyedebir DDoS saldırısını engellediğini açıkladı.

Web altyapı ve güvenlik şirketi, “ay boyunca 100’den fazla hiper-hacimli L3/4 DDoS saldırısını durdurduklarını, bunların birçoğunun 2 milyar paket/saniye (Bpps) ve 3 terabit/saniye (Tbps) seviyelerini aştığını” belirtti.

Hiper-hacimli L3/4 DDoS saldırılarının Eylül 2024’ün başından beri devam ettiğini ifade eden Cloudflare, saldırıların finansal hizmetler, internet ve telekomünikasyon sektörlerindeki birçok müşteriyi hedef aldığını ekledi. Bu saldırılar henüz belirli bir tehdit aktörüne atfedilmedi.

Daha önceki en büyük hacimli DDoS saldırısı, Kasım 2021’de Asya’daki isimsiz bir Microsoft Azure müşterisini hedef alarak 3,47 Tbps’lik bir zirveye ulaşmıştı.

Saldırılar, sabit bir port üzerinden UDP (User Datagram Protocol) kullanıyor ve paket akışı Vietnam, Rusya, Brezilya, İspanya ve ABD’den kaynaklanıyor. Bu saldırılarda ele geçirilmiş MikroTik cihazları, DVR’lar ve web sunucuları yer alıyor.

Cloudflare, bu yüksek veri hızına sahip saldırıların büyük olasılıkla, yakın zamanda açıklanan kritik bir güvenlik açığından (CVE-2024-3080, CVSS puanı: 9.8) faydalanan, enfekte ASUS ev yönlendiricilerinden kaynaklandığını belirtti.

Saldırı yüzeyi yönetimi firması Censys’in paylaştığı istatistiklere göre, 21 Haziran 2024 itibarıyla yaklaşık 157.000 ASUS yönlendirici modeli bu güvenlik açığından etkilenmiş olabilir. Bu cihazların çoğunluğu ABD, Hong Kong ve Çin’de bulunuyor.

Cloudflare’a göre bu saldırıların nihai amacı, hedefin ağ bant genişliğini ve CPU kaynaklarını tüketmek, böylece meşru kullanıcıların hizmete erişimini engellemektir.

“Yüksek paket hızına sahip saldırılara karşı savunma yapmak için, kötü paketleri mümkün olduğunca az CPU döngüsü kullanarak inceleyip atmanız ve iyi paketleri işlemek için yeterli CPU bırakmanız gerekir,” diye belirtti şirket.

“Yetersiz kapasiteye sahip birçok bulut hizmeti ve yerinde kullanılan ekipmanlar, bu boyuttaki DDoS saldırılarına karşı savunma için yeterli değildir, çünkü yüksek bant genişliği kullanımı internet bağlantılarını tıkayabilir ve yüksek paket hızı, çevrimiçi cihazların çökmesine neden olabilir.”

Bankacılık, finansal hizmetler ve kamu hizmetleri, DDoS saldırılarının en sık hedef aldığı sektörler arasında yer alıyor ve ağ performansı izleme şirketi NETSCOUT’a göre bu saldırılarda son dört yılda %55’lik bir artış yaşandı. 2024’ün ilk yarısında ise hacimsel saldırılarda %30’luk bir artış görüldü.

DDoS saldırılarının sıklığındaki bu artış, küresel kuruluşları ve endüstrileri hedef alan hacktivist faaliyetlerle ilişkilendirilmekte ve DNS-over-HTTPS (DoH) kullanılarak komuta ve kontrol (C2) iletişimlerini gizlemeye çalışılmaktadır. 

“Dağıtılmış bir botnet C2 altyapısının kullanılması, savunma çabalarını daha da zorlaştırıyor, çünkü sadece gelen DDoS saldırıları değil, aynı zamanda bot ile enfekte sistemlerin dışarıya doğru yaptığı aktiviteler de değerlendirilip engellenmelidir,” dedi NETSCOUT. 

Bu gelişme, Akamai’nin kısa bir süre önce Linux’taki Common UNIX Printing System (CUPS) güvenlik açıklarının, saniyeler içinde 600 kat amplifikasyon faktörüyle DDoS saldırıları için uygun bir vektör olabileceğini açıkladığı sırada ortaya çıktı.

Şirketin analizine göre, kamuya açık internete erişimi olan yaklaşık 198.000 cihazdan 58.000’den fazlası (%34), DDoS saldırıları için kullanılabilir.

“Atağın meydana gelmesi, saldırganın bir hedefin adresini yazıcı olarak belirten bir paket göndermesiyle olur,” diyen araştırmacılar Larry Cashdollar, Kyle Lefton ve Chad Seaman, şu açıklamayı yaptı: “Gönderilen her paket için, savunmasız CUPS sunucusu belirtilen hedefe yönlendirilmiş, daha büyük ve kısmen saldırgan tarafından kontrol edilen bir IPP/HTTP isteği oluşturacaktır. Sonuç olarak, sadece hedef etkilenmez, aynı zamanda CUPS sunucusunun bulunduğu cihaz da bu saldırı nedeniyle ağ bant genişliği ve CPU kaynaklarını tüketir.”

Censys’e göre, CUPS hizmetlerinin TCP üzerinden sunulduğu ve CVE-2024-47176’ya karşı savunmasız olan yaklaşık 7.171 cihaz bulunuyor, ancak “daha fazla CUPS hizmeti UDP üzerinden erişilebilir göründüğü” için bu tahmin düşük olabilir.

Kurumlara, yazdırma işlevi gerekli değilse CUPS’ı kaldırmaları ve bu hizmet portlarını (UDP/631) geniş internete açık oldukları durumlarda güvenlik duvarı ile engellemeleri önerilmektedir.