安全研究人员最近发现了大量利用Joomla Google地图插件漏洞进行的反射DDoS攻击。

来自Akamai科技安全工程及响应团队(Prolexic Security Engineering &Response Team, PLXsert)的研究人员发现Google地图插件中的一个漏洞，能够让攻击者将安装Google地图插件的Joomla服务器变成用于DDoS的工具。令人担心的是，这个被取名为“Joomla反射DDoS攻击”的方法成本非常低，非常容易运行。

Joomla反射DDoS

反射DDoS似乎成为了DDoS攻击者们的新时尚。2014年第四季度，Akamai观察到39%的DDoS攻击流量是使用的反射方法，这种方法利用了某种网络协议或者是程序漏洞，能够让DDoS攻击者将恶意流量反射到第三方服务器或者设备上。分布式反射拒绝服务攻击对地下罪犯非常常见。

黑客利用了一个Joomla(一套在国外相当知名的内容管理系统)Google地图插件中的漏洞进行攻击，这个漏洞在2014年初被发现。

“2014年2月，Joomla的Google地图插件中的多个漏洞被发现。其中一个漏洞能够让插件充当代理。有漏洞的服务器被一起用作DAVOSET和UFONet等工具发动的反射攻击。”

报告中称：

DAVOSET发动Joomla反射DDoS攻击非常有效，软件包含一份存在Google地图插件漏洞能被利用的服务器列表。DAVOSET还能让用户使用他们自己的反射服务器，程序很容易配置：每个反射服务器的请求数量、使用的代理服务器配置等。UFONet是另一款能够被用来进行反射攻击的工具，也非常容易进行Joomla反射DDoS。

“和DAVOSET一样，它使用了web界面和点击式的配置。这些界面友好的特点能让攻击者非常轻易地配置代理(如：Tor)、定制header，和其他攻击选项。图二展示了攻击如何配合代理进行，图三展示了工具的界面。”

　　图二

　　图三

Akamai的研究人员发现大量Joomla网站自2014年9月被黑客滥用，成为肉鸡。近150,000存在漏洞的网站能被用作Joomla反射攻击：

“攻击包含的流量中的签名符合提供雇佣DDoS服务的网站上的签名，犯罪分子似乎使用了专门滥用XML和Open Redirect函数的工具进行攻击，这种攻击造成的反射response能能够被定向到目标机器并导致拒绝服务。这些工具正快速的流行起来并被‘雇佣DDoS’市场修改、升级。”

　　攻击来源

Akamai确认这种攻击2015年仍在进行，攻击流量的主要来源是德国(31.8%)，美国(22.1%)和波兰(17.9%)。

　　防御基于云的DDoS攻击

这份报告中还附上了用于抵御Joomla反射DDoS攻击的Snort规则，专家还建议拟定一份DDoS防御计划，因为这种攻击越来越常见了。

Akamai安全事务部门高级副总裁兼总经理Stuart Scholly称：

“SaaS(Software-as-a-service，软件即服务)服务提供商提供的web应用中的漏洞为网络犯罪集团提供了条件。大量的漏洞犹如茫茫大海，这个漏洞是其中又一个web应用漏洞，非常难以找寻。企业得要拟定一份DDoS防御方案，以抵御无数基于云的SaaS服务器被用来进行拒绝服务攻击的流量。”