Cloudflare cho biết: các cuộc tấn công DDoS L3/4 đã diễn ra từ đầu tháng 9/2024, chúng nhắm vào nhiều khách hàng trong ngành Dịch vụ tài chính, Internet và Viễn thông. Tuy nhiên, hoạt động này không được quy cho bất kỳ tác nhân đe dọa cụ thể nào.

Kỷ lục trước đó về cuộc tấn công DDoS có băng thông lớn nhất đạt thông lượng đỉnh là 3,47 Tbps vào tháng 11/2021, nhắm vào một khách hàng của Microsoft Azure giấu tên ở Châu Á.

Các cuộc tấn công lợi dụng giao thức User Datagram Protocol (UDP) trên một cổng cố định, gửi hàng loạt gói tin có nguồn gốc từ Việt Nam, Nga, Brazil, Tây Ban Nha và Hoa Kỳ. Trong số đó có các thiết bị MikroTik, DVR và máy chủ web bị xâm phạm.

Cloudflare cho biết các cuộc tấn công bitrate cao có khả năng xuất phát từ một mạng botnet lớn bao gồm các bộ định tuyến gia đình ASUS bị nhiễm độc, được khai thác thông qua lỗ hổng nghiêm trọng mới được tiết lộ CVE-2024-3080 (điểm CVSS: 9,8).

Theo số liệu thống kê được chia sẻ bởi Công ty an ninh mạng Censys, tính đến ngày 21/6/2024, có hơn 157.000 bộ định tuyến ASUS có khả năng bị ảnh hưởng bởi lỗ hổng bảo mật này. Phần lớn các thiết bị này nằm ở Hoa Kỳ, Hồng Kông và Trung Quốc.

Theo Cloudflare, mục tiêu cuối cùng của chiến dịch là làm cạn kiệt băng thông mạng cũng như chu kỳ CPU của mục tiêu, qua đó ngăn chặn người dùng hợp pháp có thể truy cập vào dịch vụ.

Công ty cho biết: "Để chống lại các cuộc tấn công có băng thông cao, hệ thống cần có khả năng kiểm tra và loại bỏ các gói tin xấu bằng cách sử dụng càng ít chu kỳ CPU càng tốt, để lại đủ lượng băng thông CPU cần thiết để xử lý các gói tin tốt. Nhiều dịch vụ đám mây có dung lượng không đủ, cũng như việc sử dụng thiết bị tại chỗ sẽ không đủ khả năng để chống lại các cuộc tấn công DDoS ở quy mô lớn này. Việc tin tặc sử dụng băng thông cao có thể làm tắc nghẽn các liên kết Internet và do tốc độ gói tin cao có thể làm sập các thiết bị nội tuyến".

Ngành Ngân hàng, Dịch vụ tài chính và Tiện ích công cộng là mục tiêu nóng của các cuộc tấn công DDoS, số lượng các cuộc tấn công đã tăng 55% trong bốn năm qua. Sự gia tăng tần suất các cuộc tấn công DDoS, chủ yếu là do các hoạt động hacktivist nhắm vào các tổ chức và ngành công nghiệp toàn cầu, kết hợp với việc sử dụng DNS qua HTTPS (DoH) để điều khiển và kiểm soát (C2) nhằm mục đích gây khó khăn cho việc phát hiện.

Xu hướng triển khai cơ sở hạ tầng C2 botnet phân tán, tận dụng bot làm nút điều khiển, làm phức tạp thêm các nỗ lực phòng thủ, vì không chỉ hoạt động DDoS mà cả hoạt động của các hệ thống bị nhiễm bot cũng cần được phân loại và ngăn chặn.

Sự phát triển này diễn ra khi lỗ hổng Common UNIX Printing System (CUPS) mới được tiết lộ trong Linux có thể là một phương tiện khả thi để thực hiện các cuộc tấn công DDoS với hệ số khuếch đại gấp 600 lần chỉ trong vài giây.

Phân tích của công ty phát hiện ra rằng hơn 58.000 (34%) trong số khoảng 198.000 thiết bị có thể truy cập trên Internet công cộng có thể được sử dụng để thực hiện các cuộc tấn công DDoS.

Các nhà nghiên cứu an ninh mạng Larry Cashdollar, Kyle Lefton và Chad Seaman cho biết: "Vấn đề phát sinh khi kẻ tấn công gửi một gói tin được tạo sẵn chỉ rõ địa chỉ của mục tiêu là máy in nối mạng cần thêm vào. Với mỗi gói tin được gửi đi, máy chủ CUPS dễ bị tấn công sẽ tạo ra một yêu cầu IPP/HTTP lớn hơn do kẻ tấn công kiểm soát một phần, hướng đến mục tiêu đã chỉ định. Kết quả là, không chỉ mục tiêu bị ảnh hưởng mà máy chủ của CUPS cũng trở thành nạn nhân, vì cuộc tấn công sẽ tiêu tốn băng thông mạng và tài nguyên CPU của mục tiêu đó".

Censys cho biết, ước tính có khoảng 7.171 máy chủ có dịch vụ CUPS được mở qua TCP và dễ bị tấn công bởi CVE-2024-47176, đồng thời gọi đây là con số ước tính thấp vì thực tế có vẻ như nhiều dịch vụ CUPS có thể truy cập qua UDP hơn là TCP.

Các tổ chức được khuyên nên cân nhắc xóa CUPS nếu chức năng in không cần thiết và tường lửa cho các cổng dịch vụ (UDP/631) trong trường hợp có thể truy cập chúng từ Internet.