Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Los pings de auditoría de hipervínculos se utilizan para realizar ataques DDoS

  • Publicado: 15/04/2019
  • Importancia: Alta

Recursos afectados

La función de auditoría de hipervínculo basada en ping de HTML5, se está utilizando para hacer ataques DDoS contra varios sitios, con el fin de darles de baja.

Ping es un atributo en HTML5 para la etiqueta <a> que especifica una lista de URL a las que se notificará si el usuario hace clic en el hipervínculo. Cuando eso sucede, el atributo ping enviará una solicitud HTTP POST a la URL especificada. Con base en lo anterior los atacantes engañaban a usuarios para que, sin saberlo, participarán en un ataque DDoS.

Este ataque se baso en convertir una característica en una herramienta de ataque. En una de las URL sospechosas existían dos elementos en JS: “ou.js” y “yo.js”. Ou.js tenía una matriz en donde alojaba la URL de sitios.  Yo.js contenía una función que seleccionaba un objetivo de la matriz ou.js aleatoriamente y creaba una etiqueta <a> con el atributo "ping" apuntando a la URL de destino.

Se origino un escenario de como se pudo haber dado el ataque DDoS: los atacantes inyectan publicidad maliciosa que direccionan a un sitio malicioso, acompañado de la publicidad maliciosa hay un enlace que es de un sitio legítimo, se publica en un grupo de chat llamado WeChat (Es un servicio de mensajería de texto móvil y servicio de comunicación de mensajes de voz creado por Tencent, fábrica China). Los usuarios legítimos visitan el sitio web a través del navegador QQBrowser, el código JavaScript se ejecuta creando un enlace con el atributo ping y cada vez que un usuario hace clic se genera la solicitud que se envía al dominio de destino legitimo desde el navegador del usuario. Generaron un pico de 7,500 solicitudes por segundo, el ataque duro 4 horas.

Captura.jpg

Etiquetas