Empresa DDoS mitigação Incapsula colocou um ponto final nas especulações de que o provedor de conteúdo de vídeo cujo site vulnerável foi mal utilizado para lançar um ataque DDoS era YouTube, e revelou que era realmente Sohu.com, atualmente o 27 site mais visitado do mundo.
No início deste mês, Ronen Arias, analista de segurança da Incapsula, escreveu um post no blog sobre o ataque em questão, que a empresa foi contratada para mitigar. O (ainda sem nome) alvo de terceiros do ataque estava sendo atingido com “mais de 20 milhões de solicitações GET provenientes dos navegadores de mais de 22.000 usuários de Internet.”A investigação revelou uma fonte improvável. A vulnerabilidade XSS em um entre os sites mais populares do mundo permitiu que o atacante para injetar código JavaScript na tag associado a imagem do perfil de seus usuários. O atacante passou a comentar sobre muitos, muitos vídeos, e cada vez que o código malicioso iria acompanhar o comentário.
Uma vez que o código estava em uma página, cada vez que outro visitante passava nele o código era executado e provocava uma outra injeção de código e uma ferramenta de DDoS Ajax-scripted assumiria o comando do navegador e instruía para enviar um requisição GET (um por segundo) pedidos para os sites de destino. “Obviamente, um pedido por segundo não é muito. No entanto, quando se trata de conteúdo de vídeo de 10, 20 e 30 minutos de duração, e com milhares de visualizções a cada minuto, o ataque pode rapidamente tornar-se muito grande e extremamente perigoso “, explicou Arias. “Sabendo disso, o infrator comentários postados estrategicamente sobre vídeos populares, efetivamente criado uma botnet auto-sustentável que inclui dezenas de milhares de navegadores sequestrados, operado por visitantes humanos inocentes que estavam lá apenas para assistir a alguns gato engraçado vídeos. “Ele também compartilhou alguns detalhes sobre como a empresa foi capaz de bloquear o ataque e descobrir sua origem. O site em questão foi notificado da vulnerabilidade, e eventualmente corrigida, permitindo que Incapsula para finalmente esmagar os rumores em torno de internet sobre a sua identidade.