安全研究人員最近發現了大量利用Joomla Google地圖插件漏洞進行的反射DDoS攻擊。

來自Akamai科技安全工程及響應團隊(Prolexic Security Engineering & Response Team, PLXsert)的研究人員發現Google地圖插件中的一個漏洞，能夠讓攻擊者將安裝Google地圖插件的Joomla服務器變成用于DDoS的工具。令人擔心的是，這個被取名為“Joomla反射DDoS攻擊”的方法成本非常低，非常容易運行。

Joomla反射DDoS

反射DDoS似乎成為了DDoS攻擊者們的新時尚。2014年第四季度，Akamai觀察到39%的DDoS攻擊流量是使用的反射方法，這種方法利用了某種網絡協議或者是程序漏洞，能夠讓DDoS攻擊者將惡意流量反射到第三方服務器或者設備上。分布式反射拒絕服務攻擊對地下罪犯非常常見。

黑客利用了一個Joomla(一套在國外相當知名的內容管理系統)Google地圖插件中的漏洞進行攻擊，這個漏洞在2014年初被發現。

“2014年2月，Joomla的Google地圖插件中的多個漏洞被發現。其中一個漏洞能夠讓插件充當代理。有漏洞的服務器被一起用作DAVOSET和UFONet等工具發動的反射攻擊。”

報告中稱：

DAVOSET發動Joomla反射DDoS攻擊非常有效，軟件包含一份存在Google地圖插件漏洞能被利用的服務器列表。DAVOSET還能讓用戶使用他們自己的反射服務器，程序很容易配置：每個反射服務器的請求數量、使用的代理服務器配置等。UFONet是另一款能夠被用來進行反射攻擊的工具，也非常容易進行Joomla反射DDoS。

“和DAVOSET一樣，它使用了web界面和點擊式的配置。這些界面友好的特點能讓攻擊者非常輕易地配置代理(如：Tor)、定制header，和其他攻擊選項。圖二展示了攻擊如何配合代理進行，圖三展示了工具的界面。”

圖二

圖三

Akamai的研究人員發現大量Joomla網站自2014年9月被黑客濫用，成為肉雞。近150,000存在漏洞的網站能被用作Joomla反射攻擊：

“攻擊包含的流量中的簽名符合提供雇傭DDoS服務的網站上的簽名，犯罪分子似乎使用了專門濫用XML和Open Redirect函數的工具進行攻擊，這種攻擊造成的反射response能能夠被定向到目標機器并導致拒絕服務。這些工具正快速的流行起來并被‘雇傭DDoS’市場修改、升級。”

攻擊來源

Akamai確認這種攻擊2015年仍在進行，攻擊流量的主要來源是德國(31.8%)，美國(22.1%)和波蘭(17.9%)。

防御基于云的DDoS攻擊

這份報告中還附上了用于抵御Joomla反射DDoS攻擊的Snort規則，專家還建議擬定一份DDoS防御計劃，因為這種攻擊越來越常見了。

Akamai安全事務部門高級副總裁兼總經理Stuart Scholly稱：

“SaaS(Software-as-a-service，軟件即服務)服務提供商提供的web應用中的漏洞為網絡犯罪集團提供了條件。大量的漏洞猶如茫茫大海，這個漏洞是其中又一個web應用漏洞，非常難以找尋。企業得要擬定一份DDoS防御方案，以抵御無數基于云的SaaS服務器被用來進行拒絕服務攻擊的流量。”