Se duplican los ataques de amplificación DNS en el primer trimestre de 2018

El Informe de Amenazas Q1 2018 de Nexusguard, que analiza miles de ciberataques globales, informó que 55 de los ataques se debieron a servidores Memcached explotados. Los servidores vulnerables presentan un nuevo y significativo riesgo si no se configuran correctamente, de manera similar a los servidores expuestos habilitados por DNSSEC, una amenaza importante en el cuarto trimestre. Si no se controlan, las configuraciones deficientes pueden provocar que el tráfico amplificado produzca el mayor efecto multiplicador jamás visto.

De forma similar a los dispositivos vulnerables de IoT implementados con poca o ninguna seguridad, los servidores expuestos de Memcached pueden dar a los ciberdelincuentes aperturas para montar ataques amplificados por un factor de 51.000 veces, lo que los convierte en la herramienta de ataque más eficiente hasta la fecha.

Aunque en los últimos meses los proveedores de servicios pudieron disminuir el número de servidores Memcached vulnerables, los investigadores instan a las organizaciones a garantizar que la seguridad esté integrada en los dispositivos o servicios desde el inicio hasta la implementación, incluidas nuevas configuraciones de seguridad y parches virtuales durante todo el ciclo de vida.

"En los últimos dos trimestres los atacantes cibernéticos continúan buscando nuevas vulnerabilidades para buscar más potencia de fuego, lanzando más ataques de amplificación a través de servidores Memcached sin protección y servidores DNS con DNSSEC mal configurados, y esperamos que esta tendencia continúe", dijo Juniman Kasman, CTO de Nexusguard. "Para mantenerse por delante de los ciberdelincuentes, las empresas deberán garantizar que la seguridad sea una prioridad máxima desde el desarrollo hasta el despliegue, en lugar de dejarla como una ocurrencia tardía".

Los hackers también siguen favoreciendo enfoques multivectoriales para ayudar a lanzar ataques volumétricos, combinando combinaciones de amplificación de DNS, protocolo de tiempo de red (NTP), protocolo de datagrama universal (UDP) y otros populares vectores de ataque en más de la mitad de todas las botnets en los últimos tres meses.

China y los EE. UU. dominaron como las dos principales fuentes de ataques DDoS en el primer trimestre, contribuyendo con el 15.2 por ciento y el 14.2 por ciento de los botnets, respectivamente. Vietnam ascendió al tercer lugar, contribuyendo con más del siete por ciento de los ataques globales.

Protección contra ataques de amplificación DNS en BIND

Si en tu servidor dispones de BIND instalado y en ejecución, tendrás que editar el archivo /etc/named.conf para incluir el siguiente texto:

options {
allow-recursion {"none";};
recursion no;

dnssec-enable yes;

dnssec-validation yes;

dnssec-lookaside auto;
}