Nas últimas semanas, os pesquisadores de segurança da Akamai Technologies, empresa global de cibersegurança e entrega de experiências digitais, começaram a observar várias campanhas de ataque distribuído de negação de serviço (DDoS) contra clientes da empresa. Ao examinar os pacotes TCP usados no ataque, os pesquisadores se surpreenderam. Eles observaram que os criminosos virtuais estão usando uma nova técnica conhecida como TCP Middlebox Reflection para derrubar sites offline. Essa é a primeira vez que uma técnica dessa natureza foi observada.
Uma análise feita por pesquisadores da Universidade de Maryland e da Universidade de Colorado Boulder, sobre o novo vetor de ataque DDoS em agosto de 2021, ilustra como dispositivos como firewalls e sistemas de filtragem de conteúdo podem ser aproveitados em ataques TCP refletivos. O artigo, intitulado Weaponizing Middleboxes for TCP Reflected Amplification, também detalhou como a amplificação de DDoS de middlebox é um tipo totalmente novo de ataque de reflexão/amplificação de TCP e representa um risco para a internet como um todo.
Nesse tipo de ataque, os hackers têm a possibilidade de criar várias sequências de pacotes TCP que contêm cabeçalhos de solicitação HTTP; nesses cabeçalhos HTTP, um nome de domínio para um site bloqueado é usado como cabeçalho do host. Quando esses pacotes são recebidos pelo middlebox que está configurado para não permitir o acesso ao site, o middlebox responde, normalmente com cabeçalhos HTTP e em alguns casos páginas HTML inteiras. Essas respostas fornecem aos invasores uma oportunidade de reflexão e, em alguns casos, um fator de amplificação significativo.
Em busca de se aproveitar dessas caixas para ataques de negação de serviço refletivo distribuído (DRDoS), o hacker falsifica os IPs de origem da vítima pretendida, resultando em tráfego de resposta direcionado à vítima das caixas intermediárias. Os sistemas middlebox que foram configurados dessa maneira podem ser encontrados em redes em toda a internet, pois geralmente são usados por governos e países para impor leis de censura ou por políticas organizacionais de filtragem de conteúdo corporativo.
O Centro de Comando de Operações de Segurança da Akamai observou diversas campanhas de ataque de middlebox visando os setores bancário, de viagens, jogos, mídia e hospedagem na web. Os ataques observados que alavancam essa técnica até agora ainda são pequenos em comparação com outros vetores, mas parecem estar crescendo em popularidade e tamanho.
Quando novos vetores de ataque são descobertos, é sempre uma dúvida quando e se os invasores começarão a aproveitá-los. O ataque do middlebox permaneceu teórico por muito mais tempo do que era previsto por especialistas inicialmente, tanto é que somente após meses acontecendo é que ele foi identificado.
Levando em consideração que agora o TCP Middlebox Reflection foi testado e detectado de fato em redes pelo mundo, há chances de os criminosos virtuais seguirem com essa nova forma de ataque. Além disso, também é provável que eles tentem aprimorar e expandir os recursos e o impacto geral que TCP Middlebox Reflection pode causar.