В начале этого лета хактивисты провели масштабную DDoS-атаку на 300 Гбит/с, используя уязвимость на уровне материнских плат в 100 000 непропатченных серверов. О факте такой мощной атаки ранее не сообщалось, его раскрыли специалисты компании Verisign в квартальном отчёте Q2 2014 DDoS Trends Report.
По информации Verisign, с атакой столкнулся «дата-центр неназываемой компании, которую принято считать CDN-сетью». Всё началось с трёхчасового SYN- и TCP-флуда, что традиционно используется для ослабления жертвы перед основной фазой DDoS.
На втором этапе злоумышленники пустили в ход большие UDP-пакеты, и довольно быстро вредоносный трафик вырос до 250 Гбит/с. В последующие сутки трафик UDP и TCP падал почти до нуля и возрастал до пиковых значений более 30 раз. Такими короткими «выстрелами» испытывалась на прочность защита противника.
В последней попытке злоумышленники увеличили мощность атаки до 300 Гбит/с, что делает её одной из крупнейших зарегистрированных DDoS-атак. Тем не менее, после 30 часов противостояния инфраструктура Verisign всё-таки выдержала и атакующие сдались.
Самое интересное, что для атаки использовалась инфраструктура из почти 100 000 серверов с уязвимостью в интерфейсе материнских плат Supermicro IPMI, которую независимый исследователь Захари Уикхолм (Zachary Wikholm) описал 19 июня 2014 года. Речь идёт о доступе к незашифрованному серверному паролю по порту 49152.
Судя по всему, всё было достаточно просто: некто написал софт для автоматизации сбора паролей к уязвимым серверам, а затем использовал этот «ботнет» для прямой атаки, без всякого умножения трафика. Такие простые техники редко встречаются в наши дни.
Патч для уязвимости вышел довольно давно, но многие системные администраторы до сих пор не установили его.
