Cloudflare Gagalkan Serangan DDoS 3,8 Tbps Terbesar di Dunia

Cloudflare baru-baru ini mengumumkan bahwa mereka telah berhasil meredam serangan Distributed Denial-of-Service (DDoS) yang mencatatkan rekor baru, dengan puncak serangan mencapai 3,8 terabit per detik (Tbps) dan berlangsung selama 65 detik. Perusahaan yang dikenal dalam bidang infrastruktur dan keamanan web ini menjelaskan bahwa sepanjang bulan tersebut, mereka telah menangani lebih dari seratus serangan DDoS berukuran besar, terutama di layer 3/4 (L3/4), yang beberapa di antaranya mencapai lebih dari 2 miliar paket per detik (Bpps) dan 3 Tbps.

Serangan DDoS dengan volume besar tersebut dilaporkan mulai terjadi sejak awal September 2024. Target utama dari serangan ini adalah perusahaan yang bergerak di bidang layanan keuangan, Internet, dan telekomunikasi. Namun, sampai saat ini, belum ada aktor tertentu yang diidentifikasi sebagai dalang di balik serangan tersebut.

Rekor serangan DDoS volumetrik sebelumnya terjadi pada November 2021, dengan throughput mencapai 3,47 Tbps. Saat itu, serangan menargetkan pelanggan Microsoft Azure di Asia yang tidak disebutkan namanya. Sama seperti serangan terbaru ini, metode yang digunakan melibatkan protokol User Datagram Protocol (UDP) melalui port tertentu. Serangan ini memanfaatkan perangkat yang disusupi, termasuk router MikroTik, DVR, dan server web. Geografis serangan juga tersebar luas, dengan paket serangan berasal dari negara seperti Vietnam, Rusia, Brasil, Spanyol, dan Amerika Serikat.

Serangan DDoS dengan tingkat bitrate yang tinggi ini diperkirakan bersumber dari botnet besar yang terbentuk dari router rumah tangga ASUS yang telah terinfeksi. Router tersebut dimanfaatkan oleh para penyerang melalui eksploitasi kelemahan kritis baru-baru ini (CVE-2024-3080), yang memiliki skor CVSS sebesar 9,8. Berdasarkan data dari perusahaan pengelolaan permukaan serangan, Censys, terdapat lebih dari 157.000 router ASUS yang kemungkinan terdampak kerentanan ini per 21 Juni 2024, dengan sebagian besar perangkat berada di Amerika Serikat, Hong Kong, dan Tiongkok.

Tujuan dari serangan ini, menurut Cloudflare, adalah untuk menghabiskan bandwidth jaringan dan kapasitas CPU target, sehingga pengguna yang sah tidak bisa mengakses layanan tersebut. Cloudflare menjelaskan pentingnya memiliki kemampuan untuk memeriksa dan membuang paket buruk dengan penggunaan CPU yang minimal, sehingga sumber daya CPU yang tersisa bisa digunakan untuk memproses paket yang sah.

Tidak semua layanan cloud mampu bertahan dari serangan DDoS dengan skala seperti ini, terutama yang memiliki kapasitas terbatas. Layanan dengan bandwidth terbatas dapat dengan mudah tersumbat oleh tingginya laju paket, yang pada akhirnya bisa merusak peralatan jaringan yang terhubung.

Serangan DDoS semakin menjadi ancaman signifikan bagi sektor perbankan, layanan keuangan, dan utilitas publik. Menurut data dari NETSCOUT, sektor-sektor ini telah mengalami peningkatan serangan sebesar 55% dalam empat tahun terakhir. Hanya pada paruh pertama tahun 2024, serangan DDoS volumetrik sudah meningkat sebesar 30%. Peningkatan ini didorong oleh aktivitas hacktivist yang menyasar berbagai organisasi global, serta pemanfaatan teknologi DNS-over-HTTPS (DoH) untuk menyulitkan pendeteksian serangan.

NETSCOUT juga menyoroti tren baru yang lebih kompleks, yakni penggunaan infrastruktur Command-and-Control (C2) terdistribusi dalam botnet, yang menyulitkan pertahanan karena serangan DDoS tidak hanya masuk ke sistem, tetapi juga bisa keluar dari sistem yang terinfeksi, memaksa upaya pencegahan harus mampu mendeteksi dan memblokir lalu lintas tersebut.

Selain itu, kerentanan baru pada sistem Common UNIX Printing System (CUPS) di Linux telah diidentifikasi oleh Akamai sebagai vektor potensial untuk melakukan serangan DDoS dengan faktor amplifikasi hingga 600 kali lipat. Lebih dari 58.000 perangkat (34%) dari sekitar 198.000 perangkat yang dapat diakses di internet publik berpotensi dimanfaatkan untuk melancarkan serangan ini. Kerentanan ini muncul ketika penyerang mengirimkan paket dengan alamat target yang diubah, yang kemudian menyebabkan server CUPS yang rentan mengirimkan permintaan IPP/HTTP ke target tersebut, memperparah dampak serangan.

Sekitar 7.171 host ditemukan memiliki layanan CUPS yang terekspos dan rentan terhadap CVE-2024-47176. Perusahaan keamanan merekomendasikan agar organisasi mempertimbangkan untuk menonaktifkan CUPS jika fungsionalitas pencetakan tidak diperlukan atau melakukan firewall pada port layanan (UDP/631) untuk mencegah akses dari internet yang lebih luas.