Los servidores de Final Fantasy 14 se encuentran actualmente bajo un ataque DDoS mundial que impide que los jugadores inicien sesión en el MMORPG de Square Enix.

En una publicación de blogSquare Enix informó a los jugadores que los problemas técnicos de Final Fantasy 14 comenzaron alrededor de las 6 a. m. del 6 de marzo. A partir de ahora, el ataque DDoS puede causar que los jugadores experimenten dificultades para iniciar sesión, acceder/enviar datos y desconectarse de las plataformas japonesa, norteamericana y europea. y centros de datos de Oceanía.

Estamos obteniendo la experiencia de inicio de sesión de DT antes gracias a ddos, ¿eh? pic.twitter.com/A7eZdnaOSE

— Estela @ 6.55 (@AzureMoonlights) 6 de mayo de 2024

Si bien Square Enix aún tiene que identificar la causa de las dificultades técnicas, el desarrollador ha prometido a los jugadores que se está llevando a cabo una investigación sobre el ataque, así como contramedidas.

El ataque DDoS de hoy se produce semanas después de que el director Naoki Yoshida anunciara que se estaba desarrollando una actualización gráfica para la próxima expansión de Final Fantasy 14, Dawntrail. La actualización gráfica es una respuesta directa a los comentarios negativos de los fans sobre Los ojos sin vida del modelo de personaje en el tráiler de referencia de Dawntrail..

Los mejores juegos de PC

El lanzamiento del segundo juego de cartas para Disney Lorcana terminó el lunes después de un ataque DDoS (denegación de servicio distribuido) en el sitio web del editor Ravensburger. Los lunes, Disney LorcanaLa cuenta oficial de Facebook anunció el ataque DDoS. En un comunicado enviado a Polygon, Ravensburger dijo que el incidente no lo disuadió y que en el futuro se planean ventas adicionales en línea directas al consumidor.

«Si bien no podemos ofrecer detalles más específicos en este momento, queremos disculparnos con los consumidores que tuvieron una experiencia negativa durante nuestro lanzamiento de hoy», dijo Ravensburger en sus publicaciones en X y Facebook. «Realmente apreciamos su apoyo y estamos comprometidos a mejorar su experiencia en futuros lanzamientos».

La empresa de tecnología Queue-Fair, que gestionaba parte de la infraestructura del sitio de Ravensburger, confirmó el ataque el martes.

«Queue-Fair puede confirmar que ayer experimentamos un desafío sin precedentes cuando tanto nuestros sistemas como el sistema Ravensburger fueron atacados inesperadamente por el ataque DDoS más agresivo que hemos visto durante el lanzamiento del producto ayer», dijo Queue-Fair, fundada en 2004. en X. La compañía dijo que estima que estuvieron involucradas casi cinco millones de cuentas de bots.

“Cuantas más medidas implementemos para contrarrestar el [attack]más agresivo se volvió el ataque”, añadió la empresa.

Disney Lorcana es un nuevo juego de cartas coleccionables (TCG) que compite con dos de los nombres más importantes de la industria: Magia: La reunión y Juego de cartas coleccionables Pokémon. Lo hace combinando mecánicas de juego similares con el querido grupo de personajes animados de Disney. Pero si bien el juego ha tenido buenas críticas, incluso aquí en Polygon, conseguir cartas para jugar ha sido difícil para el consumidor promedio.

Para llevar más productos al mercado, Ravensburger anunció una reimpresión completa del primer juego de cartas del juego, titulado El primer capitulocoincidiendo con el lanzamiento de El ascenso de los nacidos de las inundaciones. Y, sin embargo, incluso con dos juegos disponibles más o menos a la vez, parece que los precios del mercado siguen siendo altos y la disponibilidad de tarjetas sigue siendo un problema.

Con la esperanza de mitigar aún más estos problemas de precios, Ravensburger decidió intentar vender tarjetas directamente a través de su propio sitio web por un tiempo limitado. Pero el ataque DDoS frustró esos planes, encerrando a los consumidores dentro de colas que no funcionaban bien durante horas.

«Nuestro equipo ha trabajado muy duro para resolver este problema a lo largo del día, pero desafortunadamente eso no ha sido posible», dijo Ravensburger en sus publicaciones en X y Facebook. «A partir de ahora vamos a finalizar oficialmente las ventas en nuestro sitio web de Disney Lorcana: Rise of the Floodborn».

Ravensburger dijo a Polygon en un comunicado el martes que intentará realizar ventas en línea como esta nuevamente en el futuro.

«En Ravensburger entendemos la frustración por cómo fue el lanzamiento del sitio web de ayer y estamos comprometidos a garantizar que los futuros lanzamientos web puedan tener éxito», dijo Ravensburger. “A corto plazo, reasignaremos El ascenso de los nacidos de las inundaciones cantidades de artículos a otros canales para garantizar que esos productos se puedan comprar durante la temporada navideña. A medio y largo plazo, estamos tomando todas las medidas necesarias para definir una hoja de ruta clara que garantice que los futuros lanzamientos de nuestro sitio web sean exitosos”.

Lo que está en juego en estas primeras ventas es el concepto mismo de “precio minorista sugerido por el fabricante”, que muchos en la industria de las tarjetas coleccionables parecen ignorar. Tomemos, por ejemplo, una caja de 24 sobres: con diferencia, la forma más económica de obtener un montón de cartas a la vez para construir mazos. Estas cajas tienen un precio minorista sugerido de $ 144, y Ravensburger las envía primero a las tiendas de juegos locales antes de cumplir con los pedidos a los grandes minoristas o gigantes en línea como Disney y Amazon. En teoría, eso les da a los consumidores la oportunidad de apoyar a los minoristas locales, y les brinda a los minoristas locales la oportunidad de generar negocios repetidos y una comunidad local saludable de jugadores competitivos.

Pero como algunas tarjetas raras alcanzan precios de cinco dígitos en los mercados en línea, los especuladores han intervenido para hacerse con tantos paquetes sin abrir como puedan encontrar. Esto está llevando el llamado “precio de mercado” –que es rastreado de forma privada por TCGPlayer, filial de eBay y otros mercados secundarios– más cerca de $250 o más por caja de tarjetas. Esa inflación de precios está provocando que algunos minoristas independientes opten por aumentar sus propios precios en la caja, para no perder la oportunidad de vender ellos mismos en línea cajas sin abrir al precio inflado. Otros más se mantienen firmes.

Mientras tanto, El ascenso de los nacidos de las inundaciones En sí mismo es un excelente juego de cartas. Amplía las mecánicas disponibles en el juego, llenando vacíos en los objetivos de diseño y aumentando la complejidad del metajuego general. Pero el metajuego no es muy divertido cuando encontrar cartas es tan desafiante.

Actualizar: Polygon actualizó su historia original con declaraciones adicionales de Ravensburger y su socio tecnológico, Queue-Fair.

Durante las últimas 24 horas, los usuarios de ChatGPT han estado experimentando problemas con el chatbot de OpenAI, y el servicio parece inutilizable para muchos. La empresa detrás de su creación ha declarado que está trabajando para aislar el problema y hacer que su chatbot vuelva a funcionar con normalidad, pero también teme que un ataque DDoS (denegación de servicio distribuido) pueda haber sido el responsable de esta interrupción de un día. .

Según la página de estado de OpenAI, el chatbot continúa enfrentando problemas causados ​​por un aumento inusual en el tráfico. Si observa la imagen a continuación, la última actualización proporcionada por la compañía es que el patrón de tráfico anormal refleja un ataque DDoS, lo que sugiere que la interrupción del servicio fue intencional. Si es un usuario habitual de ChatGPT, puede continuar recibiendo actualizaciones haciendo clic aquí, pero la última declaración de OpenAI se proporcionó el 8 de noviembre a las 19:49 PST, lo que sugiere que se requiere mucho trabajo para que ChatGPT vuelva a estar en línea.

Para aquellos que no lo saben, un ataque DDoS tiene como objetivo interrumpir el tráfico normal de un sitio web atacando el servidor, servicio o red con una avalancha de tráfico de Internet. El resultado es que el sitio web o servicio que funciona en ese servidor o red queda inutilizable para muchos, y es una descripción que ChatGPT coincide en este momento, por lo que mientras OpenAI está trabajando para restaurarlo, la compañía no ha proporcionado una ETA.

Para su información: Estamos lidiando con interrupciones periódicas debido a un patrón de tráfico anormal que refleja un ataque DDoS. Seguimos trabajando para mitigar esto.

Síguenos: https://t.co/0jqsOtchMQ

¡El equipo está trabajando muy duro para estabilizarse ahora mismo!

– Logan.GPT (@OfficialLoganK) 9 de noviembre de 2023

También es posible que ChatGPT tenga problemas debido a la cantidad de usuarios agregados en poco tiempo y los servidores de la empresa no puedan manejar el abrumador tráfico. En cualquier caso, siempre que el servicio reanude su funcionamiento normal, actualizaremos a nuestros lectores en consecuencia. Mientras tanto, puedes utilizar Microsoft Bing para retomar tus consultas, y si aún no has instalado el navegador, te recomendamos hacerlo.

Lo que necesitas saber

• Desde alrededor del mediodía PST ChatGPT ha estado bajo un ataque DDoS, confirma OpenAI.
• Si está utilizando ChatGPT y recibe mensajes de error que indican «demasiadas solicitudes», es probable que se deba a un ataque DDoS en curso.
• Un grupo hacktivista llamado Anonymous Sudan ha crédito reclamado para el ataque.
• No está claro si el ataque ha cesado y, en caso contrario, cuándo terminará.

---

ChatGPT ha estado dando problemas a los usuarios durante las últimas 18 a 20 horas. Un usuario en Reddit al corrienteexplicando que estaban recibiendo un mensaje de error con la API: error 429, demasiadas solicitudes.

Utilicé ChatGPT extensamente ayer para una historia y recibí mensaje de error tras mensaje de error. Algunos dijeron que se alcanzó mi límite a pesar de que tengo ChatGPT Plus; algunos dijeron que había mucho tráfico y que los resultados de las consultas se retrasarían. Varias veces envié una consulta, no obtuve respuesta y el robot de IA se estropeó.

OpenAI ha confirmado que un ataque distribuido de denegación de servicio (DDoS) está detrás de las «interrupciones periódicas» que afectan a ChatGPT y sus herramientas de desarrollo.

ChatGPT, el chatbot impulsado por IA de OpenAI, ha estado experimentando interrupciones esporádicas durante las últimas 24 horas. Los usuarios que intentaron acceder al servicio fueron recibidos con un mensaje que decía que «ChatGPT está al máximo de su capacidad en este momento», y otros, incluido TechCrunch, no pudieron iniciar sesión en el servicio.

El director ejecutivo de OpenAI, Sam Altman, inicialmente atribuyó el problema al interés en las nuevas características de la plataforma, presentadas en la primera conferencia de desarrolladores de la compañía el lunes, «superando con creces nuestras expectativas». OpenAI dijo que el problema se solucionó aproximadamente a la 1 p.m. PST del 8 de noviembre.

Sin embargo, desde entonces la compañía actualizó su página de informe de incidentes para indicar que continúa viendo «interrupciones periódicas» en ChatGPT y su API, lo que permite a los desarrolladores integrar el modelo ChatGPT en sus propias aplicaciones.

En su última actualización, la compañía dijo que las interrupciones en curso se deben «a un patrón de tráfico anormal que refleja un ataque DDoS». Los ataques DDoS normalmente implican un intento de saturar un servicio en línea inundándolo con más solicitudes de las que puede manejar.

OpenAI no ha compartido más información sobre el ataque y no respondió de inmediato a las preguntas de TechCrunch.

En una serie de mensajes de Telegram vistos por TechCrunch, el grupo hacktivista Anonymous Sudan se atribuyó el mérito del presunto ataque. A pesar de su nombre, los investigadores de seguridad creen que el grupo está vinculado a Rusia.

El competidor de OpenAI, Anthropic, también enfrentó problemas con su chatbot Claude impulsado por IA el miércoles. CNBC informa que un mensaje en la plataforma decía: «Debido a limitaciones inesperadas de capacidad, Claude no puede responder a su mensaje». No está claro si los dos incidentes están relacionados.

En agosto y septiembre, los actores de amenazas desataron los mayores ataques distribuidos de denegación de servicio en la historia de Internet al explotar una vulnerabilidad previamente desconocida en un protocolo técnico clave. A diferencia de otros ataques de día cero de alta gravedad de los últimos años (Heartbleed o log4j, por ejemplo) que provocaron el caos debido a un torrente de exploits indiscriminados, los ataques más recientes, denominados HTTP/2 Rapid Reset, apenas fueron perceptibles para todos excepto para unos pocos elegidos. ingenieros.

HTTP2/Rapid Reset es una técnica novedosa para lanzar DDoS, o ataques distribuidos de denegación de servicio, de una magnitud sin precedentes. No se descubrió hasta que ya estaba siendo explotado para generar DDoS sin precedentes. Un ataque a un cliente que utilizaba la red de entrega de contenidos de Cloudflare alcanzó un máximo de 201 millones de solicitudes por segundo, casi el triple del récord anterior que Cloudflare había visto de 71 millones de rps. Un ataque a un sitio que utiliza la infraestructura de nube de Google alcanzó un máximo de 398 millones de rps, más de 7,5 veces mayor que el récord anterior que registró Google de 46 millones de rps.

Hacer más con menos

Los DDoS que atacaron a Cloudflare provinieron de una red de aproximadamente 20.000 máquinas maliciosas, un número relativamente pequeño en comparación con muchas de las llamadas botnets. El ataque fue aún más impresionante porque, a diferencia de muchos DDoS dirigidos a clientes de Cloudflare, este resultó en errores intermitentes 4xx y 5xx cuando usuarios legítimos intentaron conectarse a algunos sitios web.

«Cloudflare detecta regularmente botnets que son órdenes de magnitud mayores que esto, que comprenden cientos de miles e incluso millones de máquinas», escribió el director de seguridad de Cloudflare, Grant Bourzikas. «Que una botnet relativamente pequeña genere un volumen tan grande de solicitudes, con el potencial de incapacitar casi cualquier servidor o aplicación que admita HTTP/2, subraya cuán amenazadora es esta vulnerabilidad para las redes desprotegidas».

La vulnerabilidad que explota HTTP/2 Rapid Reset reside en HTTP/2, que entró en vigor en 2015 y ha pasado por varias revisiones desde entonces. En comparación con los protocolos HTTP/1 y HTTP/1.1 anteriores, HTTP/2 brindaba la capacidad de que una sola solicitud HTTP transportara 100 o más «transmisiones» que un servidor puede recibir todas a la vez. El rendimiento resultante puede conducir a una utilización casi 100 veces mayor de cada conexión, en comparación con los protocolos HTTP anteriores.

La mayor eficiencia no sólo fue útil para distribuir vídeo, audio y otros tipos de contenido benigno. Los usuarios de DDoS comenzaron a aprovechar HTTP/2 para lanzar ataques de órdenes de magnitud mayores. Hay dos propiedades en el protocolo que permiten estos nuevos DDoS eficientes. Antes de discutirlos, es útil revisar cómo funcionan los ataques DDoS en general y luego pasar a la forma en que funcionaban los protocolos HTTP anteriores a 2.0.

Existen varios tipos de ataques DDoS. Las formas más conocidas son los ataques volumétricos y de protocolo de red. Los ataques volumétricos rellenan las conexiones entrantes a un sitio objetivo con más bits de los que la conexión puede transportar. Esto es similar a enviar más vehículos a una carretera de los que puede acomodar. Al final, el tráfico se paraliza. Hasta el año pasado, el mayor DDoS volumétrico registrado fue de 3,47 terabits por segundo.

Los DDoS de protocolo de red funcionan para abrumar a los enrutadores y otros dispositivos que se encuentran en las capas 3 y 4 de la pila de red. Debido a que funcionan en estas capas de red, se miden en paquetes por segundo. Uno de los mayores ataques de protocolo fue bloqueado por la empresa de seguridad Imperva y alcanzó un máximo de 500 millones de paquetes por segundo.

El tipo de ataque llevado a cabo por HTTP/2 Rapid Reset pertenece a una tercera forma de DDoS conocida como ataques de capa de aplicación. En lugar de intentar saturar la conexión entrante (volumétrica) o agotar la infraestructura de enrutamiento (protocolo de red), los DDOS a nivel de aplicación intentan agotar los recursos informáticos disponibles en la capa 7 de la infraestructura de un objetivo. Las inundaciones en aplicaciones de servidor para HTTP, HTTPS y voz SIP se encuentran entre los medios más comunes para agotar los recursos informáticos de un objetivo.

Si Destino 2 Las desconexiones y los códigos de error han estado interrumpiendo tu tiempo de juego últimamente, no estás solo, pero Bungie confirma que no se deben al lanzamiento de actualizaciones. En cambio, el desarrollador detrás del juego FPS espacial multijugador dice que estos problemas de Destiny 2 son el resultado de ataques DDoS maliciosos, que han ejercido «presión adicional» sobre la infraestructura del juego.

Los ataques DDoS (denegación de servicio distribuido) involucran a una persona o grupo que intenta saturar un servidor, servicio o red enviándole una avalancha de tráfico desde múltiples fuentes. Es un poco como un atasco de tráfico digital; al enviar suficientes pings al servidor de destino a la vez, puede obstruir la tubería y causar problemas, interrupciones o incluso interrupciones temporales en la funcionalidad para los usuarios habituales.

La cuenta ‘Bungie Help’ comparte una publicación en Twitter/X confirmando un reciente «aumento de códigos de error y desconexiones» en Destiny 2 durante los últimos días. Explica: «El equipo ha confirmado que estos códigos de error no están relacionados con las correcciones planificadas para el reciente problema de elaboración y, en cambio, son el resultado de ataques DDoS». Las desconexiones no son, como se señala, causadas por actualizaciones que se están implementando para corregir el exploit de creación de Destiny 2 que sumió al juego en un caos ridículo la semana pasada.

Los códigos de error en cuestión, típicamente del tirador de Bungie, incluyen un séquito completo de bocadillos y vida silvestre, con códigos de error como comadreja, abeja, grosella, coco y ciempiés. Bungie añade: «Queremos agradecer a nuestros jugadores por su paciencia mientras nuestros equipos trabajan rápidamente para garantizar la integridad del juego y continúan implementando nuestra hoja de ruta para futuras mejoras de estabilidad».

«Aunque normalmente no confirmamos este tipo de ataques y no planeamos hacerlo en el futuro por razones generales de seguridad del juego», continúa el equipo, «creemos que es lo correcto que nuestros jugadores comuniquen la presión adicional a nuestros jugadores». sistemas dadas las circunstancias recientes”. Los ataques DDoS suelen ser bastante difíciles de resolver o prevenir debido a su naturaleza, ya que el tráfico proviene de muchas fuentes diferentes, por lo que es de esperar que Bungie pueda restaurar la estabilidad lo antes posible.

Asegúrate de consultar los códigos de emblemas de Destiny 2 más recientes para asegurarte de que no te has perdido ningún artículo gratuito y estudia nuestro tutorial de la incursión de Destiny 2 Crota’s End para ayudarte a sobrevivir a la oscuridad en su último desafío que regresa.

Dark and Darker está en funcionamiento nuevamente después de realizar cambios en su servidor de inicio de sesión para protegerse mejor contra un «ataque DDoS concertado».

El desarrollador Ironmace recurrió a las redes sociales a principios de esta semana para informar que estaba «implementando servidores con protección DDoS adicional», desconectando el juego durante varias horas para realizar un mantenimiento de emergencia.

Pero incluso después de restablecer los servidores, los jugadores continuaron reportando problemas para iniciar sesión y Ironmace todavía estaba luchando contra los ataques de denegación de servicio al día siguiente.

«Estamos experimentando un ataque DDoS concertado», anunció el equipo en X/Twitter. «Debido a esto, parece que nuestra respuesta será necesaria. [sic] funcionamiento adicional. En consecuencia, el mantenimiento [to add extra DDoS protection] Tomará un poco más de tiempo de lo esperado.»

Más tarde, ese mismo día, Ironmace dijo que había vuelto a poner los servidores en línea, pero que «seguía siendo DDoS» y advirtió a los jugadores que «el acceso podría ser irregular».

Desde entonces, Ironmace dice que ha trabajado para actualizar sus servidores «para proteger mejor contra los ataques DDoS y solucionar los problemas de inicio de sesión actuales», pero los comentarios en las publicaciones del estudio en las redes sociales sugieren que incluso hoy en día, algunos jugadores continúan experimentando problemas al intentarlo. iniciar sesión.

Como Victoria explicó anteriormente, el desarrollador coreano detrás del saqueador medieval Dark and Darker hizo registrar su oficina después de acusaciones de que el estudio creó su juego con código robado, y Ironmace recibió una carta de cese y desistimiento y la eliminación de DMCA por parte de Nexon, algo que el desarrollador dijo que es «basado en afirmaciones distorsionadas». Como resultado, Dark and Darker fue eliminado de Steam. Luego utilizó ChatGPT para intentar demostrar que no había infringido ningún reclamo de derechos de autor.

Ahora, sin embargo, Dark and Darker vuelve a estar en línea, aunque en acceso temprano, y Ironmace optó por crear su propio lanzador, conocido como Blacksmith, y vender el juego directamente desde su propio sitio web y a través de la tienda digital Chaf Games. Ironmace también está librando otra batalla, esta vez con sus propios tramposos.

ICYMI, Dark and Darker llega al móvil. El editor de PUBG: Battlegrounds, Krafton, adquirió los derechos para llevar el juego de rol a dispositivos móviles, elogiando la «creatividad potencial y distintiva» del juego y afirmando que el desarrollador Ironmace había «aprovechado algo convincente».

Oscuro y más oscuro es uno de los lanzamientos de juegos de rol más inesperados y divertidos de este año. Ironmace Games lanzó su juego debut de la nada, para alegría de los fanáticos emocionados. Ahora que Dark and Darker ha estado disponible por un corto tiempo, el desarrollador ha lanzado actualizaciones periódicas para el juego. Desde cambios de revisión menores hasta ajustes de parches más importantes, ha llegado una gran cantidad de contenido nuevo desde el lanzamiento inicial. Sin embargo, tras la última actualización, también se produjo un ataque DDoS inesperado.

Ironmace explica la situación en Twitter y dice que el equipo está «experimentando un ataque DDoS concertado». El desarrollador siguió las notas habituales del parche que acompañan a las actualizaciones y explicó que debido al ataque DDoS «parece que nuestra respuesta requerirá ajustes adicionales». Los servidores han estado inactivos desde que Ironmace aplicó por primera vez la actualización reciente, y el desarrollador originalmente dijo que «La implementación de servidores para protección DDoS lleva más tiempo de lo esperado».

Poco tiempo después, Ironmace sacó a la luz el ataque DDoS. Gorjeo, explicando que con ello “el mantenimiento tardará un poco más de lo esperado”. La actualización en sí estaba destinada a ser un simple parche de corrección de errores, solucionando problemas con el sigilo, el rendimiento del servidor, la lógica Ironshield y otros problemas menores. Ironshield es el sistema anti-trampas de Dark and Darker, que se actualiza con frecuencia para resolver exploits conocidos.

Sin embargo, este no es un ataque DDoS cualquiera, ya que el desarrollador aclara que el ataque DDoS supera los “600 Gbps”, lo que significa que es masivo. Por el momento, los servidores siguen inactivos y Ironmace continúa trabajando para resolver la brecha de seguridad. Mientras esperas volver a sumergirte en el juego después de la actualización, echa un vistazo a nuestro análisis en profundidad de todas las clases Oscuras y Más Oscuras. Alternativamente, explora algunos de nuestros otros juegos de fantasía favoritos para cambiar de ritmo.

Las organizaciones que aún tienen que parchear una vulnerabilidad de gravedad 9.8 en los dispositivos de red fabricados por Zyxel se han convertido en la molestia pública número 1, ya que un número considerable de ellos continúan siendo explotados y convertidos en botnets que lanzan ataques DDoS.

Zyxel reparó la falla el 25 de abril. Cinco semanas después, Shadowserver, una organización que monitorea las amenazas de Internet en tiempo real, advirtió que muchos firewalls y servidores VPN de Zyxel se habían visto comprometidos en ataques que no mostraban signos de detenerse. La evaluación de Shadowserver en ese momento fue: «Si tiene un dispositivo vulnerable expuesto, asuma el compromiso».

El miércoles, 12 semanas desde que Zyxel entregó un parche y siete semanas desde que Shadowserver hizo sonar la alarma, la empresa de seguridad Fortinet publicó una investigación que informaba sobre un aumento en la actividad de explotación realizada por múltiples actores de amenazas en las últimas semanas. Como fue el caso con los compromisos activos informados por Shadowserver, los ataques provinieron abrumadoramente de variantes basadas en Mirai, una aplicación de código abierto que los piratas informáticos utilizan para identificar y explotar vulnerabilidades comunes en enrutadores y otros dispositivos de Internet de las cosas.

Cuando tiene éxito, Mirai convierte los dispositivos en botnets que potencialmente pueden ofrecer ataques distribuidos de denegación de servicio de enormes tamaños.

Aumentando la urgencia de parchear la vulnerabilidad de Zyxel, los investigadores publicaron en junio un código de explotación que cualquiera podía descargar e incorporar en su propio software de botnet. A pesar de la amenaza clara e inminente, quedan suficientes dispositivos vulnerables incluso cuando los ataques continúan aumentando, dijo Cara Lin, investigadora de Fortinet, en el informe del jueves. Lin escribió:

Desde la publicación del módulo de explotación, ha habido un aumento sostenido de la actividad maliciosa. El análisis realizado por FortiGuard Labs identificó un aumento significativo en las ráfagas de ataques a partir de mayo, como se muestra en el gráfico de conteo de desencadenantes que se muestra en la Figura 1. También identificamos varias redes de bots, incluida Dark.IoT, una variante basada en Mirai, así como otra red de bots que emplea métodos de ataque DDoS personalizados. En este artículo, brindaremos una explicación detallada de la carga útil entregada a través de CVE-2023-28771 y botnets asociados.

La vulnerabilidad utilizada para comprometer los dispositivos Zyxel, rastreada como CVE-2023-28771, es una vulnerabilidad de inyección de comando no autenticada con una clasificación de gravedad de 9.8. La falla se puede explotar con un paquete IKEv2 especialmente diseñado en el puerto UDP 500 del dispositivo para ejecutar código malicioso. La revelación de Zyxel de la falla está aquí.

CVE-2023-28771 existe en las configuraciones predeterminadas del firewall y los dispositivos VPN del fabricante. Incluyen las versiones de firmware de la serie Zyxel ZyWALL/USG de la 4.60 a la 4.73, las versiones de firmware de la serie VPN de la 4.60 a la 5.35, las versiones de firmware de la serie USG FLEX de la 4.60 a la 5.35 y las versiones de firmware de la serie ATP de la 4.60 a la 5.35.

Lin de Fortinet dijo que durante el mes pasado, los ataques que explotaron CVE-2023-28771 se originaron en distintas direcciones IP y se dirigieron específicamente a la capacidad de inyección de comandos en un paquete de intercambio de claves de Internet transmitido por dispositivos Zyxel. Los ataques se implementan mediante herramientas como curl y wget, que descargan scripts maliciosos de los servidores controlados por el atacante.

Además de Dark.IoT, otro software de botnet que explota la vulnerabilidad incluye a Rapperbot y Katana, el último de los cuales está estrechamente vinculado a un canal de Telegram conocido como “SHINJI.APP | Red de bots Katana”.

Dada la capacidad de los exploits para ejecutarse directamente en dispositivos de seguridad confidenciales, uno podría haber asumido que las organizaciones afectadas ya habrían parcheado la vulnerabilidad subyacente. Por desgracia, los continuos intentos exitosos de explotación demuestran que un número no trivial de ellos todavía no lo ha hecho.

“La presencia de vulnerabilidades expuestas en los dispositivos puede generar riesgos significativos”, señaló Lin. “Una vez que un atacante obtiene el control de un dispositivo vulnerable, puede incorporarlo a su botnet, lo que le permite ejecutar ataques adicionales, como DDoS. Para abordar esta amenaza de manera efectiva, es crucial priorizar la aplicación de parches y actualizaciones siempre que sea posible”.