A equipe de segurança da Akamai identificou um novo vetor de ataque explorando o processo cups-browsed. Além de já permitir a execução de código malicioso, foi descoberto que o serviço, ao receber solicitações pela porta 631, pode ser usado para amplificar tráfego de rede em até 600 vezes o volume original. Em comparação, outros sistemas como memcached e NTP oferecem um potencial de amplificação de até 50 mil e 556 vezes, respectivamente.
Esse método, que visa ataques de amplificação de tráfego DDoS, utiliza sistemas que rodam o cups-browsed como intermediários. Em vez de direcionar as solicitações diretamente ao alvo, os computadores participantes do ataque enviam suas requisições através desses amplificadores de tráfego, maximizando o impacto. Em uma varredura recente, mais de 198 mil sistemas com CUPS foram encontrados vulneráveis, sendo que 34% (cerca de 58 mil) mostraram-se eficazes para amplificação em ataques DDoS.
Diferentemente de outras formas de amplificação, que necessitam de pacotes UDP com endereços falsificados, o cups-browsed dispensa essa etapa. Ele, por padrão, tenta baixar arquivos PPD de servidores externos quando solicitado, utilizando o valor “IPP URI”, que pode ser modificado para incluir até 989 bytes adicionais. Esse valor é replicado duas vezes na requisição — no cabeçalho HTTP e no corpo do POST — e a tentativa de download é repetida em caso de falha com código 404.
Notícias Relacionadas
Nos testes, 62% dos sistemas analisados enviaram ao menos 10 respostas TCP/IPP/HTTP para cada requisição inicial UDP. Em média, os sistemas vulneráveis responderam com 45 tentativas de download, transformando uma solicitação de 30 bytes em 18.000 bytes, amplificando o tráfego em 600 vezes. Na pior hipótese, essa amplificação foi registrada em 108 vezes.
A Cloudflare recentemente mitigou um ataque DDoS que gerou um fluxo recorde de 3,8 terabits por segundo. O ataque foi organizado utilizando roteadores Asus e Mikrotik comprometidos, além de outros dispositivos vulneráveis, como DVRs e servidores web, que foram explorados através de brechas recentes.
