A OVHcloud, provedora global de serviços em nuvem e uma das maiores do gênero na Europa, afirma ter mitigado um ataque recorde de negação de serviço distribuído (DDoS) no início deste ano, que atingiu uma taxa de pacotes sem precedentes de 840 milhões de pacotes por segundo (Mpps).
A empresa relata que observou uma tendência geral de aumento no tamanho dos ataques a partir de 2023, com aqueles que excedem 1 Tbps se tornando mais frequentes e aumentando para ocorrências semanais e quase diárias em 2024.
Vários ataques mantiveram altas taxas de bits e pacotes por longos períodos nos últimos 18 meses, com a maior taxa de bits registrada pela OVHcloud durante esse período sendo de 2,5 Tbps em 25 de maio de 2024.
A análise de alguns desses ataques revelou o uso extensivo de dispositivos de rede principais, particularmente modelos Mikrotik, tornando os ataques mais impactantes e difíceis de detectar e interromper.
DDoS recorde
No início deste ano, a OVHcloud teve que mitigar um ataque massivo de taxa de pacotes que atingiu 840 Mpps, superando o recorde anterior, um ataque DDoS de 809 Mpps direcionado a um banco europeu, que a Akamai mitigou em junho de 2020.
“Nossa infraestrutura teve que mitigar vários ataques de mais de 500 Mpps no início de 2024, incluindo um com pico de 620 Mpps”, explica a OVHcloud.
“Em abril de 2024, até mitigamos um ataque DDoS recorde, atingindo ~840 Mpps, um pouco acima do recorde anterior relatado pela Akamai.”
O provedor de serviços de nuvem observou que o ataque TCP ACK se originou de 5.000 IPs de origem. Dois terços dos pacotes foram roteados por apenas quatro Pontos de Presença (PoPs), todos nos Estados Unidos e três na Costa Oeste.
A capacidade do invasor de concentrar esse tráfego massivo em um espectro relativamente estreito de infraestrutura de internet torna essas tentativas de DDoS mais formidáveis e mais difíceis de mitigar.
Poderosos Mikrotiks são culpados
A OVHcloud afirma que muitos dos ataques de alta taxa de pacotes registrados, incluindo o ataque recorde de abril, se originam de dispositivos MirkoTik Cloud Core Router (CCR) comprometidos, projetados para redes de alto desempenho.
A empresa identificou, especificamente, os modelos comprometidos CCR1036-8G-2S+ e CCR1072-1G-8S+, que são usados como núcleos de rede de pequeno a médio porte.
Muitos desses dispositivos expuseram sua interface on-line, executando firmware desatualizado e tornando-os suscetíveis a ataques que aproveitam explorações de vulnerabilidades conhecidas.
A empresa de nuvem levanta a hipótese de que os invasores podem usar o recurso “Teste de largura de banda” do RouterOS da MikroTik, projetado para testes de estresse de rendimento de rede, para gerar altas taxas de pacotes.
A OVHcloud encontrou quase 100.000 dispositivos Mikrotik que podem ser acessados/explorados pela internet, o que os torna muitos alvos potenciais para agentes de DDoS.
Devido ao alto poder de processamento dos dispositivos MikroTik, que possuem CPUs de 36 núcleos, mesmo que uma pequena porcentagem desses 100k fosse comprometida, isso poderia resultar em uma botnet capaz de gerar bilhões de pacotes por segundo.
A OVHcloud calculou que sequestrar 1% dos modelos expostos em uma botnet poderia dar aos invasores poder de fogo suficiente para lançar ataques, atingindo 2,28 bilhões de pacotes por segundo (Gpps).
Dispositivos MikroTik foram utilizados para construir botnets poderosas novamente no passado, sendo um caso notável o botnet Mēris.
Apesar dos vários avisos do fornecedor aos usuários para atualizar o RouterOS para uma versão segura, muitos dispositivos permaneceram vulneráveis a ataques por meses, correndo o risco de serem alistados em enxames de DDoS.
A OVHcloud diz que informou a MikroTik sobre suas últimas descobertas, mas não recebeu nenhuma resposta.