Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Disminución drástica de servidores NTP vulnerables
A causa del aumento en los ataques DDoS utilizados para extorsionar a negocios en línea, la noticia de que ha habido una disminución considerable en servidores NTP vulnerables que pueden ser utilizados en ataques DDoS de amplificación, es más que bienvenida.
Investigadores de NSFOCUS han estado siguiendo el número de servidores NTP utilizados en ataques de amplificación desde diciembre de 2013. Inicialmente había poco más de 432 mil servidores, de los cuales 1,224 eran capaces de amplificar el tráfico con un factor mayor a 700, lo que los hacía especialmente útiles para los atacantes.
El último escaneo realizado en mayo reveló que muchos administradores de red y de sistemas han atendido a las recomendaciones de US-CERT y de otros centros de seguridad, deshabilitando o restringiendo el comando monlist que motivaba a que sus servidores fueran utilizados para los ataques. La cantidad de servidores vulnerables se encuentra ahora entre 17 mil y 18 mil.
Si bien esta disminución es una buena noticia, es un hecho que más de 17 mil servidores continúan siendo vulnerables.
"Cualquier ataque de amplificación es un método poco costoso para los atacantes", comentó para ThreatPost el Arquitecto de Soluciones de NSFOCUS, Terence Chong. "[los atacantes] Pueden escribir un script que provoque una amplificación de 10x a 500x en el volúmen del tráfico, lo que podría abatir fácilmente un sitio, comparado con el método tradicional, que consiste en usar botnets bajo su control para generar tráfico ellos mismos, lo que implica mucho esfuerzo".
"Los uruarios de versiones anteriores a la 4.2.7p26 deben configurar la opción noquery en las restricciones para bloquear todas las consultas de estado o utilizar disable monitor para deshabilitar el comando ntpdc -c monlist pero permitiendo otras consultas de estado", advirtió.
Kevin Shortt, gestor voluntario de incidentes para SANS ISC, confirmó que ha habido una marcada disminución en sistemas NTP vulnerables debido al comando monlist. "Me gustaría sugerir que, mientras los expertos hablan de un progreso lento para parchar Heartbleed, el problema surgido con Heartbleed es responsable del repentino cambio", escribió. "En mayo se observó un gran esfuerzo por parchar y ajustar los niveles de importancia de los parches debido a Heartbleed. Este esfuerzo probablemente influyó en que las vulnerabilidades NTP se parcharan al mismo tiempo".
