協助傳送、最佳化及保護網上內容和業務應用的全球雲端服務供應商Akamai,於日前發表全新網路安全威脅建議書,對企業和SaaS供應商提出警告,指出攻擊者利用安裝了易被入侵的Google地圖外掛程式的Joomla伺服器,作為發動DDoS攻擊的平台。
Akamai資訊安全事業單位資深副總裁兼總經理Stuart Scholly表示:「軟體即服務(Software-as-a-Service;SaaS)供應商提供的網路應用程式漏洞,讓其持續淪為網路犯罪者的武器。他們現在又發展新型的DDoS(Distributed Denial of Service;分散式阻斷服務)攻擊方式及受雇型DDoS(DDoS-for-Hire)工具,鎖定易被入侵的Joomla外掛程式展開攻擊,在無窮盡的網路應用程式漏洞上再添一筆。企業必須準備好應對DDoS攻擊的防護計畫,以緩解DDoS可能利用數百萬台基於雲端的SaaS伺服器阻斷服務流量。」
Joomla的Google地圖外掛程式的已知漏洞,允許外掛程式被利用成為代理伺服器。代理伺服器是中介伺服器,以其他身份處理要求和回傳結果。使用易被入侵的Google 地圖外掛程式的Joomla伺服器,因而被利用成為代理伺服器。攻擊者假造要求來源,導致結果從代理伺服器送出,傳遞至企圖阻斷服務的對象。流量攻擊看似來自Joomla伺服器,但無法得知真正的攻擊來源。
Akamai旗下的Prolexic安全工程及研究團隊(Prolexic Security Engineering & Research Team;PLXsert)與PhishLabs的研究分析情報部門(R.A.I.D)合作,比對DDoS攻擊特徵的流量,發現來自多個Joomla網站,顯示易被入侵的安裝程式被大量用於反射式GET洪泛攻擊,此為DDoS攻擊的其中一種。觀察到的攻擊流量與資料顯示,該攻擊係由已知的受雇型DDoS網站發動。
PLXsert可辨識網際網路上超過150,000個潛在Joomla反射器。雖然許多伺服器看似已經過修補、重新配置、鎖定或解除外掛程式安裝,其他伺服器依然容易淪為此種DDoS攻擊的工具。PLXsert於11月為Akamai一家客戶緩解了此類型的DDoS攻擊。當時發動攻擊的主要IP位址大多來自德國。參與該次攻擊的IP位址,同樣參與了針對其他Akamai客戶的攻擊行為,所屬產業遍及託管服務、娛樂和消費品產業。
目前許多以反射為基礎的DDoS攻擊類型相當流行。在2014年第四季,Akamai旗下的PLXsert觀察到,所有DDoS攻擊流量中有39%使用反射技術。反射式DDoS攻擊利用網際網路協定或應用程式漏洞,讓DDoS攻擊者從第三方伺服器或裝置反射惡意流量,同時隱藏身份,在過程中進一步放大攻擊流量。基於雲端的DDoS攻擊緩解措施能夠因應此一問題,保護機構免於惡意流量攻擊。以邊緣為基礎的網路安全機制(Edge-based Security)與淨化中心(Scrubbing Center)可以遠在DDoS攻擊流量對客戶網站或資料中心造成影響前即加以遏止。