Преступники могут использовать уязвимости в публичных TFTP-серверах для запуска масштабных DDoS-атак с отражением.
Группа исследователей из Эдинбургского университета им. Непера (Edinburgh Napier University) обнаружила новый вектор DDoS-атак. Как известно, для усиления так называемого «отражения» DDoS-атак часто используются DNS или NTP, однако эксперты выявили способ эксплуатации для подобных целей протокола TFTP (Trivial File Transfer Protocol).
По словам экспертов, злоумышленники могут использовать уязвимости в публичных TFTP-серверах для запуска масштабных DDoS-атак с отражением. Простое сканирование показало наличие 599,6 тыс. публично доступных TFTP-серверов (TFTP использует порт 69). По словам исследователей, коэффициент усиления атак данного типа гораздо выше по сравнению с другими протоколами и может достигать 60.
«Обнаруженная уязвимость позволяет злоумышленникам использовать публичные TFTP-серверы для усиления трафика так же, как и в атаках другого типа. При наличии определенных условий объем трафика может быть увеличен в 60 раз», - рассказал один из авторов исследования Борис Сиклик (Boris Sieklik) в беседе с изданием The Register.
TFTP представляет собой упрощенную версию протокола FTP (File Transfer Protocol) и обычно используется в локальных сетях. Основное назначение TFTP - обеспечение простоты реализации клиента. В связи с чем он используется для загрузки бездисковых рабочих станций, обновлений и конфигураций в «умные» сетевые устройства и т.д.
В настоящее время нет информации об инцидентах с эксплуатацией данной уязвимости, однако на российских и китайских сайтах уже появлялись публикации на эту тему, предупредил Сиклик.