GitHub, la plataforma de control de versiones en línea y distribución de código, reportó una serie de ataques masivos de Denegación Distribuida de Servicios (DDoS) el pasado miércoles 28 de febrero, lo que causó la interrupción del servicio y forzó al sitio web Github.com a desconectarse.
En la primera fase del ataque (sucedido a las 23:28 Hrs. del miércoles 28, tiempo del Centro de México), el sitio web de GitHub sufrió un impactante pico de 1.35 terabits por segundo (Tbps), mientras que en la segunda fase el sistema de monitoreo de red de GitHub detectó un pico de 400 Gbps. Los ataques duraron más de 8 minutos y, debido al tráfico masivo utilizado, éste ha sido calificado “históricamente como el ataque DDoS más grande jamás presenciado hasta la fecha”, aseveró René Hernández, Sales Engineer México, Central America & Caribe de Arbor Networks. “Este tipo de ataques están sucediendo y cada vez están tomando mucho mayor fuerza, por lo que hay que estar prevenidos”, dijo el directivo en el marco de un evento organizado por la empresa Optimiti.
Fuente: Akamai, Tráfico en tiempo real del ataque DDoS.
A finales de 2016, la empresa DynDNS (Dynamic Network Services) había sufrido el mayor ataque DDoS con un flujo de tráfico de 1 Tbps. Para ello los hackers utilizaron Mirai, un malware popular para infectar dispositivos IoT y llevar a cabo ataques DDoS a gran escala.
Sin embargo, en el caso de GitHub, los ataques DDoS fueron posibles debido a una falla en seguridad crítica de los servidores de Memcached, que fue identificada por las empresas de seguridad Akamai, Arbor Networks y Cloudflare. Según los investigadores de estas compañías, la implementación del protocolo UDP de los servidores Memcached es defectuosa y cualquiera puede lanzar un gran ataque DDoS sin demasiado ruido.
Un “ataque de amplificación”
Por su parte, GitHub confirmó que se trató de un ataque de amplificación para el cual se empleó el enfoque basado en Memcached, que alcanzó un máximo de 1.35 Tbps a través de 126.9 millones de paquetes por segundo.
En su blog, Sam Kottler, de Github, explicó que “la suplantación de direcciones IP permite que las respuestas de Memcached se orienten contra otra dirección, como las que se usan para servir a Github.com, y envían más datos hacia el objetivo que los que se deben enviar por la fuente no contaminada. La vulnerabilidad a través de la configuración incorrecta descrita en la publicación es algo única en esa clase de ataques, ya que el factor de amplificación es de hasta 51,000, lo que significa que por cada byte enviado por el atacante, se envían hasta 51 KB hacia el objetivo”, señaló Kottler.
Para mitigar los ataques, GitHub decidió utilizar Prolexic, de Akamai, que proporciona protección DDoS administrada, con lo cual se pudieron filtrar y bloquear los paquetes de tráfico malicioso. Además, GitHub se disculpó con sus usuarios y sostuvo que en ningún momento los datos del usuario estuvieron en riesgo. La empresa prometió mejorar su seguridad para manejar ciberataques a gran escala.
