DDoS-атака на 300 Гбит/с через баг в материнских платах Supermicro


DDoS-Уязвимость в материнских платах Supermicro была использована хактивистами для проведения масштабной DDoS-атаки в 300 Гбит/с. Данные материнки использовались в 100 тыс. непропатченных серверах.

Специалисты Verisign рассказали, что с атакой столкнулся один дата-центр неназываемой компании, которую принято считать CDN-сетью. Начиналось все с трехчасового SYN- и TCP-флуда, традиционно используемых для ослабления жертвы перед основной фазой DDoS.

На втором этапе злоумышленники стали использовать большие UDP-пакеты, что увеличило вредоносный трафик до 250 Гбит/с. В последующие сутки трафик UDP и TCP падал почти до нуля и возрастал до пиковых значений более 30 раз. Такими короткими "выстрелами" испытывалась на прочность защита противника.

В последней попытке злоумышленники увеличили мощность атаки до 300 Гбит/с, что делает ее одной из крупнейших зарегистрированных DDoS-атак. Все этапы атаки длились 30 часов, однако инфраструктура Verisign все-таки выдержала и атакующие сдались.

Интересно то, что для атаки использовалась инфраструктура из почти 100 тыс. серверов с уязвимостью в интерфейсе материнских плат Supermicro IPMI. Речь идет о доступе к незашифрованному серверному паролю по порту 49152.

У специалистов есть предположение, что некто написал софт для автоматизации сбора паролей к уязвимым серверам. Затем, используя этот ботнет, организовал прямую атаку, без всякого умножения трафика. Такие простые техники редко встречаются в наши дни.

Что касается патча для уязвимости в материнских платах, то он вышел довольно давно. Однако, не смотря на это, многие системные администраторы до сих пор его не установили.

Srednity pikoviy DDoS-trafik po kvartalam
Средний пиковый трафик DDoS-атак, по кварталам


Обновлено (21.08.2014 18:34)