Злоумышленники нашли новых посредников для проведения DDoS-атак по методу отражения и усиления трафика — серверы американского VPN-провайдера Powerhouse Management. Исследование показало, что эти подневольные устройства могут обеспечить коэффициент усиления х40.
Новую возможность для злоупотреблений обнаружил и задокументировал ИБ-исследователь, использующий сетевой псевдоним Phenomite. По его словам, виновником в данном случае является доступный из интернета UDP-порт 20811, который используют две службы — Outfox и VyprVPN.
Поиск по Shodan не выявил в интернете ни одного VPN-сервера, принадлежащего Powerhouse, однако на пробные эхо-запросы по 1 байт некоторые IP-адреса из контрольной выборки откликнулись, вернув более внушительный объем данных. В среднем эти ответы по размеру превышали запрос в 40 раз.
Поскольку в данном случае используется протокол UDP, источник запроса можно сфальсифицировать, подставив IP-адрес мишени, и все ответы VPN-посредников будут направляться на целевой узел.
Исследователю удалось выявить 1520 VPN-серверов Powerhouse, уязвимых к такому абьюзу. Своими находками он поделился с ZDNet, отметив, что большинство уязвимых устройств расположены в Великобритании, Вене и Гонконге. Попытки обеих сторон связаться с Powerhouse пока результатов не дали.
Тем временем дидосеры тоже обнаружили новый вектор и взяли его на вооружение. По данным ZDNet, максимальная мощность DDoS-атак с использованием Powerhouse VPN пока составляет 22 Гбит/с.
Пока проблема не решена, сетевым администраторам рекомендуется заблокировать входящий трафик из сетей VPN-провайдера (AS21926 и AS22363). Если есть опасения, что при этом пострадают легитимные соединения, можно отсеивать только UDP-пакеты с портом отправителя 20811.