Ruský internetový gigant Yandex se stal cílem rekordního DDoS útoku pomocí nového botnetu s názvem Mēris.

Předpokládá se, že botnet pohltil webovou infrastrukturu společnosti miliony HTTP požadavků než dosáhl vrcholu 21,8 milionu požadavků za sekundu (RPS), čímž převyšoval nedávný útok pomocí botnetu, který vyšel najevo minulý měsíc, a bombardoval nejmenovaného zákazníka Cloudflare ve finančním odvětví se 17,2 miliony RPS.

Ruská služba Qrator Labs pro zmírnění DDoS, která odhalila podrobnosti o útoku, bot nazvala Mēris – v lotyšském jazyce „mor“ – „botnet nového druhu“.

„Je také jasné, že tento konkrétní botnet stále roste. Existuje náznak, že by botnet mohl nabýt v účinnosti v důsledku hrubého vynucování hesla. Vypadá to jako nějaká zranitelnost, která byla utajena před zahájením masivní kampaně nebo prodejem na černém trhu,“ poznamenali vědci a dodali, že Mēris „může přemoci téměř jakoukoli infrastrukturu, včetně některých vysoce robustních sítí […] díky obrovské síle RPS, kterou přináší.“

Útoky DDoS využívaly techniku ​​nazývanou HTTP pipelining, která umožňuje klientovi (tj. webovému prohlížeči) otevřít připojení k serveru a provádět více požadavků bez čekání na každou odpověď. Škodlivý provoz pocházel z více než 250 000 infikovaných hostitelů, především síťových zařízení společnosti Mikrotik, které byly odzbrojeny využíváním dosud neznámých zranitelností, přičemž důkazy ukazovaly na spektrum verzí RouterOS.

V příspěvku na fóru však lotyšský výrobce síťového vybavení uvedl, že tyto útoky využívají stejnou sadu směrovačů, které byly ohroženy zranitelností v roce 2018 (CVE-2018-14847, skóre CVSS: 9,1), která byla od té doby opravena a že neexistují žádné nové (zero-day) zranitelnosti ovlivňující zařízení.

„Zavření této chyby zabezpečení bohužel tyto směrovače okamžitě nechrání. Pokud někdo v roce 2018 získal vaše heslo, nepomůže pouhá aktualizace. Musíte také změnit heslo, znovu zkontrolovat bránu firewall, jestli neumožňuje vzdálený přístup neznámým stranám, a hledejte skripty, které jste nevytvořili,“ poznamenal výrobce.

Mēris byl také spojen s řadou DDoS útoků, včetně těch, které byly zmírněny pomocí Cloudflare, přičemž se překrývala „doba trvání a distribuce mezi zeměmi.“

I když je vysoce doporučeno upgradovat zařízení MikroTik na nejnovější firmware, aby bylo možné bojovat s potenciálními útoky botnetů, organizacím se také doporučuje změnit hesla pro správu, aby se zabránilo pokusům hrubou silou.

Zdroj: thehackernews.com