安全研究人員最近發(fā)現(xiàn)了大量利用Joomla Google地圖插件漏洞進(jìn)行的反射DDoS攻擊。

來(lái)自Akamai科技安全工程及響應(yīng)團(tuán)隊(duì)(Prolexic Security Engineering & Response Team, PLXsert)的研究人員發(fā)現(xiàn)Google地圖插件中的一個(gè)漏洞，能夠讓攻擊者將安裝Google地圖插件的Joomla服務(wù)器變成用于DDoS的工具。令人擔(dān)心的是，這個(gè)被取名為“Joomla反射DDoS攻擊”的方法成本非常低，非常容易運(yùn)行。

Joomla反射DDoS

反射DDoS似乎成為了DDoS攻擊者們的新時(shí)尚。2014年第四季度，Akamai觀察到39%的DDoS攻擊流量是使用的反射方法，這種方法利用了某種網(wǎng)絡(luò)協(xié)議或者是程序漏洞，能夠讓DDoS攻擊者將惡意流量反射到第三方服務(wù)器或者設(shè)備上。分布式反射拒絕服務(wù)攻擊對(duì)地下罪犯非常常見(jiàn)。

黑客利用了一個(gè)Joomla(一套在國(guó)外相當(dāng)知名的內(nèi)容管理系統(tǒng))Google地圖插件中的漏洞進(jìn)行攻擊，這個(gè)漏洞在2014年初被發(fā)現(xiàn)。

“2014年2月，Joomla的Google地圖插件中的多個(gè)漏洞被發(fā)現(xiàn)。其中一個(gè)漏洞能夠讓插件充當(dāng)代理。有漏洞的服務(wù)器被一起用作DAVOSET和UFONet等工具發(fā)動(dòng)的反射攻擊。”

報(bào)告中稱：

DAVOSET發(fā)動(dòng)Joomla反射DDoS攻擊非常有效，軟件包含一份存在Google地圖插件漏洞能被利用的服務(wù)器列表。DAVOSET還能讓用戶使用他們自己的反射服務(wù)器，程序很容易配置：每個(gè)反射服務(wù)器的請(qǐng)求數(shù)量、使用的代理服務(wù)器配置等。UFONet是另一款能夠被用來(lái)進(jìn)行反射攻擊的工具，也非常容易進(jìn)行Joomla反射DDoS。

“和DAVOSET一樣，它使用了web界面和點(diǎn)擊式的配置。這些界面友好的特點(diǎn)能讓攻擊者非常輕易地配置代理(如：Tor)、定制header，和其他攻擊選項(xiàng)。圖二展示了攻擊如何配合代理進(jìn)行，圖三展示了工具的界面。”

圖二

圖三

Akamai的研究人員發(fā)現(xiàn)大量Joomla網(wǎng)站自2014年9月被黑客濫用，成為肉雞。近150,000存在漏洞的網(wǎng)站能被用作Joomla反射攻擊：

“攻擊包含的流量中的簽名符合提供雇傭DDoS服務(wù)的網(wǎng)站上的簽名，犯罪分子似乎使用了專門(mén)濫用XML和Open Redirect函數(shù)的工具進(jìn)行攻擊，這種攻擊造成的反射response能能夠被定向到目標(biāo)機(jī)器并導(dǎo)致拒絕服務(wù)。這些工具正快速的流行起來(lái)并被‘雇傭DDoS’市場(chǎng)修改、升級(jí)。”

攻擊來(lái)源

Akamai確認(rèn)這種攻擊2015年仍在進(jìn)行，攻擊流量的主要來(lái)源是德國(guó)(31.8%)，美國(guó)(22.1%)和波蘭(17.9%)。

防御基于云的DDoS攻擊

這份報(bào)告中還附上了用于抵御Joomla反射DDoS攻擊的Snort規(guī)則，專家還建議擬定一份DDoS防御計(jì)劃，因?yàn)檫@種攻擊越來(lái)越常見(jiàn)了。

Akamai安全事務(wù)部門(mén)高級(jí)副總裁兼總經(jīng)理Stuart Scholly稱：

“SaaS(Software-as-a-service，軟件即服務(wù))服務(wù)提供商提供的web應(yīng)用中的漏洞為網(wǎng)絡(luò)犯罪集團(tuán)提供了條件。大量的漏洞猶如茫茫大海，這個(gè)漏洞是其中又一個(gè)web應(yīng)用漏洞，非常難以找尋。企業(yè)得要擬定一份DDoS防御方案，以抵御無(wú)數(shù)基于云的SaaS服務(wù)器被用來(lái)進(jìn)行拒絕服務(wù)攻擊的流量。”