Уязвимые серверы CUPS способны усилить DDoS-поток в 600 раз

Уязвимые серверы CUPS способны усилить DDoS-поток в 600 раз

Уязвимые серверы CUPS способны усилить DDoS-поток в 600 раз

Исследователи из Akamai обнаружили, что службы CUPS можно использовать как посредников в DDoS-атаках с отражением и усилением трафика. В интернете присутствуют свыше 58 тыс. серверов, уязвимых к таким злоупотреблениям.

Новый вектор DDoS был выявлен при изучении описаний уязвимостей в CUPS, недавно раскрытых Симоне Маргарителли (Simone Margaritelli). Эксперты пришли к выводу, что теми же недочетами cups-browsed и cups-filters могут воспользоваться дидосеры.

Злоумышленник может подать на доступный сервер печати запрос на добавление нового принтера, указав адрес своей мишени, и демон cups-browsed начнет использовать его в попытках получить файл с атрибутами описания принтера (через запросы IPP/HTTP).

Примечательно, что подобная DDoS-атака потребует минимум трудозатрат. Достаточно создать один вредоносный пакет и написать скрипт для автоматизации подачи запросов на уязвимые CUPS-серверы.

 

Тестирование показало, что каждый такой невольник в среднем обеспечивает коэффициент усиления 600x. При увеличении размеров первоначального пакета показатель падает, однако объем данных в отраженном потоке тоже возрастет, что может привести к истощению ресурсов на целевом HTTP-сервере.

Исследователи обнаружили в интернете свыше 198 тыс. устройств с открытым портом 631/UDP, на котором работает cups-browsed. Более 58 тыс. используют устаревшие версии CUPS и оказались пригодными для использования в DDoS-атаках.

Сотни таких потенциальных посредников, получив стимул, уходят в бесконечный цикл запросов. А все вместе они способны создать мусорный поток до 6 Гбит/с.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Авторы стилеров маскируют зловреды под ИИ-ассистенты

Злоумышленники активно распространяют вредоносные копии популярных ИИ-ассистентов, таких как ChatGPT, DeepSeek и Google Gemini. Чаще всего эти подделки используются для распространения стилеров — вредоносных программ, перехватывающих учетные данные пользователей, как из публичных сервисов, так и из корпоративных систем.

По данным экспертов, опрошенных «Известиями», стилеры остаются востребованным инструментом среди киберпреступников благодаря своей простоте, доступности и распространенности в даркнете. Согласно данным «Информзащиты», в 2024 году число атак с их использованием увеличилось на 54% по сравнению с предыдущим годом.

Как пояснила руководитель ИТ-подразделения агентства «Полилог» Людмила Богатырева, злоумышленники нередко распространяют стилеры через фальшивые версии официальных приложений госструктур и банков, копируя их внешний вид и функциональность.

«Часто такие программы распространяются через фишинговые письма со вложенными файлами или ссылками на зараженные ресурсы. Злоумышленники маскируются под представителей госорганов, контрагентов, специалистов техподдержки или HR-отделов. Сегодня в области кибербезопасности активно используются ИИ-решения для выявления подобных угроз, однако сами мошенники также применяют искусственный интеллект для повышения реалистичности своих атак», — отметила она.

Пример одной из таких атак привели в «Информзащите»: сотрудники компании получили фишинговое письмо якобы от партнера-логиста с прикрепленными документами. Один из сотрудников загрузил и открыл файл, после чего стилер оказался на его устройстве.

Вредоносная программа украла его учетные данные и перехватила одноразовый код из СМС для обхода двухфакторной аутентификации. Получив доступ к корпоративной системе, хакеры похитили конфиденциальные данные компании и потребовали за них выкуп в несколько сотен тысяч рублей.

Старший контент-аналитик «Лаборатории Касперского» Ольга Свистунова отметила, что мошенники создают поддельные сервисы, имитирующие популярные ИИ-ассистенты. Это позволяет им одновременно собирать данные, перехваченные стилерами, и получать доступ к учетным записям пользователей.

Руководитель BI.ZONE Threat Intelligence Олег Скулкин обратил внимание на то, что в даркнете можно найти базы данных, собранные стилерами. Кроме того, появились бесплатные генераторы вредоносного кода, доступные даже тем, кто не имеет средств или технических возможностей для приобретения коммерческих вредоносных программ по модели «вирус как сервис».

Некоторые стилеры становятся все более сложными и трудно обнаруживаются средствами защиты. Например, новые штаммы GuLoader практически незаметны для антивирусных программ.

В Министерстве цифрового развития рекомендуют соблюдать базовые меры предосторожности:

  • Критически относиться к ссылкам, по которым переходите,
  • Избегать установки приложений из непроверенных источников,
  • Не передавать никому логины, пароли и коды двухфакторной аутентификации.

Для защиты компаний директор по клиентской безопасности Selectel Денис Полянский выделил три ключевых правила:

  1. Настроить защиту корпоративной почты,
  2. Обеспечить антивирусную защиту всех рабочих устройств, включая Linux-системы,
  3. Регулярно обучать сотрудников методам кибербезопасности и выявления мошеннических схем.

По прогнозам специалистов, стилеры останутся одной из значимых угроз в 2025 году.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru