{"id":18962,"date":"2021-08-26T15:24:47","date_gmt":"2021-08-26T18:24:47","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=18962"},"modified":"2021-08-26T15:24:50","modified_gmt":"2021-08-26T18:24:50","slug":"os-invasores-podem-armar-firewalls-e-middleboxes-para-ataques-ddos-amplificados","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2021\/08\/exploits\/os-invasores-podem-armar-firewalls-e-middleboxes-para-ataques-ddos-amplificados\/","title":{"rendered":"Os invasores podem armar firewalls e middleboxes para ataques DDoS amplificados"},"content":{"rendered":"\n

Fraquezas na implementa\u00e7\u00e3o do protocolo TCP em <\/span><\/span>middleboxes<\/span><\/span> e infraestrutura de censura podem ser transformadas em arma como um vetor para encenar ataques de amplifica\u00e7\u00e3o de nega\u00e7\u00e3o de servi\u00e7o (DoS) contra qualquer alvo, superando muitos dos fatores de amplifica\u00e7\u00e3o baseados em UDP existentes at\u00e9 o momento.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Detalhado por um grupo de acad\u00eamicos da Universidade de Maryland e da Universidade de Colorado Boulder no Simp\u00f3sio de Seguran\u00e7a USENIX, os ataques volum\u00e9tricos tiram proveito de middleboxes de rede em n\u00e3o conformidade com TCP, como firewalls, sistemas de preven\u00e7\u00e3o de intrus\u00e3o e pacotes profundos de caixas de inspe\u00e7\u00e3o (DPI) para amplificar o tr\u00e1fego de rede, com centenas de milhares de endere\u00e7os IP oferecendo <\/span><\/span>fatores de <\/span><\/span>amp<\/span><\/span>lifica\u00e7\u00e3o que<\/span><\/span> excedem os de DNS, NTP e Memcached.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

\"https:\/\/thehackernews-com.translate.goog\/images\/-6LLuBFQTG2E\/YRqAx1k0X-I\/AAAAAAAADjE\/kzhBfPWYOcglx0WeIZhB5FiE5z2pvROxACLcBGAsYHQ\/s0\/ddos.gif?_x_tr_sl=auto&_x_tr_tl=pt&_x_tr_hl=pt&_x_tr_pto=ajax,elem\"<\/p>\n\n\n\n

\u00a0<\/p>\n

A pesquisa, que recebeu o pr\u00eamio Distinguished Paper na confer\u00eancia \u00e9 a primeira de seu tipo a descrever uma t\u00e9cnica para realizar ataques de amplifica\u00e7\u00e3o refletida de DDoS sobre o protocolo TCP abusando de configura\u00e7\u00f5es incorretas de middlebox, um m\u00e9todo anteriormente considerado eficaz na preven\u00e7\u00e3o de tais ataques de spoofing.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Ataques de amplifica\u00e7\u00e3o refletida s\u00e3o um tipo de ataques DoS em que um advers\u00e1rio aproveita a natureza sem conex\u00e3o do protocolo UDP com solicita\u00e7\u00f5es falsificadas para servidores abertos configurados incorretamente, a fim de sobrecarregar um servidor ou rede alvo com uma enxurrada de pacotes, causando interrup\u00e7\u00e3o ou renderizando o servidor e sua infraestrutura circundante inacess\u00edvel. Isso geralmente ocorre quando a resposta do servi\u00e7o vulner\u00e1vel \u00e9 maior do que a solicita\u00e7\u00e3o falsificada, que pode ent\u00e3o ser aproveitada para enviar milhares dessas solicita\u00e7\u00f5es, ampliando significativamente o tamanho e a largura de banda emitida para o destino.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

\"\"<\/a><\/div>\n
\u00a0<\/div>\n

Embora as amplifica\u00e7\u00f5es DoS sejam tradicionalmente baseadas em UDP devido a complica\u00e7\u00f5es decorrentes do <\/span><\/span>handshake de tr\u00eas vias<\/span><\/span> do TCP <\/span>para configurar uma conex\u00e3o TCP \/ IP em uma rede baseada em IP (SYN, SYN + ACK e ACK), os pesquisadores descobriram que um grande n\u00famero de middleboxes de rede n\u00e3o est\u00e3o em conformidade com o padr\u00e3o TCP e podem “responder a solicita\u00e7\u00f5es censuradas falsificadas com grandes p\u00e1ginas de bloqueio, mesmo se n\u00e3o houver conex\u00e3o TCP v\u00e1lida ou handshake”, transformando os dispositivos em alvos atraentes para ataques de amplifica\u00e7\u00e3o DoS.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

“Middleboxes muitas vezes n\u00e3o s\u00e3o compat\u00edveis com TCP por design, muitos middleboxes tentam lidar com o roteamento assim\u00e9trico, onde a middlebox s\u00f3 pode ver uma dire\u00e7\u00e3o dos pacotes em uma conex\u00e3o (por exemplo, cliente para servidor)”, <\/span>conforme <\/span>os pesquisadores . “Mas esse recurso os abre para ataques, se os middleboxes injetam conte\u00fado com base apenas em um lado da conex\u00e3o, um invasor pode falsificar um lado de um handshake TCP de tr\u00eas vias e convencer o middlebox de que h\u00e1 uma conex\u00e3o v\u00e1lida.”<\/span><\/p>\n

\u00a0<\/p>\n

Em outras palavras, o mecanismo depende de enganar o middlebox para injetar uma resposta sem completar o aperto de m\u00e3o de tr\u00eas vias, posteriormente usando-o para acessar um dom\u00ednio proibido, como pornografia, jogos de azar e sites de compartilhamento de arquivos, fazendo com que o middlebox responda com uma p\u00e1gina de bloqueio que seria muito maior do que as solicita\u00e7\u00f5es censuradas, resultando em uma amplifica\u00e7\u00e3o.<\/span><\/p>\n

\u00a0<\/p>\n

Al\u00e9m do mais, essas respostas amplificadas n\u00e3o v\u00eam apenas predominantemente de middleboxes, uma parte desses equipamentos de inspe\u00e7\u00e3o de rede s\u00e3o aparelhos de censura do estado-na\u00e7\u00e3o, destacando o papel desempenhado por tal infraestrutura em permitir que os governos suprimem o acesso \u00e0s informa\u00e7\u00f5es dentro de suas fronteiras, e pior, permite que advers\u00e1rios transformem os dispositivos de rede em armas para atacar qualquer v\u00edtima na Internet.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

“A infraestrutura de censura do estado-na\u00e7\u00e3o est\u00e1 localizada em ISPs de alta velocidade e \u00e9 capaz de enviar e injetar dados em larguras de banda incrivelmente altas”, conforme os pesquisadores. “Isso permite que um invasor amplifique grandes quantidades de tr\u00e1fego sem se preocupar com a satura\u00e7\u00e3o do amplificador. Em segundo lugar, o enorme conjunto de endere\u00e7os IP de origem que podem ser usados \u200b\u200bpara acionar ataques de amplifica\u00e7\u00e3o torna dif\u00edcil para as v\u00edtimas bloquearem simplesmente um punhado de refletores. Estado-na\u00e7\u00e3o com censores efetivamente transformam todos os endere\u00e7os IP rote\u00e1veis \u200b\u200b(sic) em seu pa\u00eds em um potencial amplificador. “<\/span><\/p>\n

\u00a0<\/p>\n

“Middleboxes, introduz uma amea\u00e7a inexplorada e inesperada, como ainda que os atacantes poderiam aproveitar para lan\u00e7ar poderosos ataques DoS”, conforme os pesquisadores<\/span>. “Proteger a Internet contra essas amea\u00e7as exigir\u00e1 um esfor\u00e7o conjunto de muitos fabricantes e operadoras de middlebox.”<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2021\/08\/attackers-can-weaponize-firewalls-and.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Fraquezas na implementa\u00e7\u00e3o do protocolo TCP em middleboxes e infraestrutura de censura podem ser transformadas em arma como um vetor para encenar ataques de amplifica\u00e7\u00e3o de nega\u00e7\u00e3o de servi\u00e7o (DoS) contra qualquer alvo, superando muitos dos fatores de amplifica\u00e7\u00e3o baseados em UDP existentes at\u00e9 o momento. \u00a0 Detalhado por um grupo de acad\u00eamicos da Universidade […]<\/p>\n","protected":false},"author":2,"featured_media":18968,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-18962","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18962","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=18962"}],"version-history":[{"count":7,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18962\/revisions"}],"predecessor-version":[{"id":18970,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18962\/revisions\/18970"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/18968"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=18962"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=18962"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=18962"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}