多個 DDoS 殭屍網路綁架 Zyxel設備發動攻擊
據觀察,多個 DDoS 殭屍網路攻擊者利用 2023 年 4 月曝光的 Zyxel 設備中的一個關鍵漏洞來遠端控制易受攻擊的系統。
Fortinet FortiGuard Labs表示,透過IP流量跟位置辨識,目前這樣的攻擊多發生在中美洲、北美、東亞和南亞。攻擊活動利用了多台伺服器發起攻擊,並在幾天內進行了自我更新,以最大程度地損害Zyxel 設備。
漏洞編號為CVE-2023-28771(CVSS 評分:9.8),是一個影響多個防火牆模型的命令注入錯誤,可能允許未經授權的攻擊者透過向目標設備發送特製資料包來執行任意程式碼。
Shadowserver 基金會警告,從 2023 年 5 月 26 日起,該漏洞就被積極利用來建構「類 Mirai殭屍網路」。這現象說明攻擊者濫用未修補漏洞的伺服器正在增加。
從Fortinet最新發現可以看出,不只一個特定的惡意駭客組織利用此漏洞破壞設備、發起 DDoS 攻擊。攻擊者包含Mirai 殭屍網路變種,如 Dark.IoT 和另一個被稱為 Katana 的殭屍網路,Katana可使用 TCP 和 UDP 通訊協議發動 DDoS 攻擊。
相關文章:Mirai 殭屍網路新變種V3G4鎖定Linux 和物聯網設備
同時,根據Cloudflare 報告, 2023 年第二季度DDoS 攻擊的複雜程度令人震驚地升級,威脅行為者透過「巧妙模仿瀏覽器行為」,並保持每秒相對較低的攻擊率,設計出新穎的方法來逃避檢測。
目前DDoS攻擊可以利用信譽良好DNS 解析器進行DNS清洗行為來隱藏惡意流量,加上虛擬機殭屍網路策畫高強度DDoS 攻擊。DNS清洗攻擊中,由於隨機化因素,遞迴式 DNS 伺服器不會緩存響應,並且需要將查詢轉發到受害者的權威 DNS 服務器。權威 DNS 服務器隨後會受到大量查詢的轟炸,直到無法提供合法查詢,甚至導致完全崩潰。