使用安装了易受攻击的谷歌地图插件的 Joomla 服务器的攻击者正在使用反射技术发起分布式拒绝服务 (DDoS) 攻击。
反射 DDoS 攻击均利用 Internet 协议或应用程序漏洞,允许 DDoS 攻击者将恶意流量反射到第三方服务器或设备上,隐藏其身份并放大过程中的攻击流量。
在这种情况下,该公司能够在互联网上识别出超过 150,000 个潜在的 Joomla 反射器。尽管许多服务器似乎已被修补、重新配置、锁定或已卸载插件,但其他服务器仍然容易被用于 DDoS 攻击。
“由软件即服务提供商托管的 Web 应用程序中的漏洞继续为犯罪企业家提供弹药,”Akamai 安全业务部高级副总裁兼总经理 Stuart Scholly 在咨询中说。“现在他们是利用一个易受攻击的 Joomla 插件,他们为此发明了一种新的 DDoS 攻击和 DDoS-for-hire 工具。”
在这种情况下,Akamai 表示 Joomla 的 Google 地图插件中的一个已知漏洞允许该插件充当代理,或代表其他人处理请求并返回结果的中间服务器。攻击者欺骗(伪造)请求的来源,导致结果从代理发送给其他人——即他们的拒绝服务目标。攻击的真正来源仍然未知,因为攻击流量似乎来自 Joomla 服务器。
“这是漏洞海洋中的又一个 Web 应用程序漏洞——看不到尽头,”Scholly 说。“企业需要制定 DDoS 保护计划,以缓解来自数百万可用于 DDoS 的基于云的 SaaS 服务器的拒绝服务流量。”
在 PhishLabs 的 RAID 的合作下,Akamai 的 Prolexic 安全工程与研究团队 ( PLXsert ) 匹配了来自多个 Joomla 站点的 DDoS 签名流量,这表明易受攻击的安装正被大量用于反射 GET 洪水(一种 DDoS 攻击)。
“观察到的攻击流量和数据表明,攻击是在已知的 DDoS 出租网站上提供的,”该公司报告说。
PLXsert 补充说,它早在 11 月就代表 Akamai 客户缓解了此类 DDoS 攻击,其中大多数顶级攻击 IP 地址都来自德国。参与此次攻击的同一 IP 地址也参与了针对托管、娱乐和消费品行业的其他 Akamai 客户的 DDoS 攻击。
基于反射的 DDoS 攻击继续流行。在 2014 年第四季度,Akamai 的 PLXsert 统计,所有 DDoS 攻击流量中有 39% 使用了反射技术。
