RU EN

Злоумышленники проводят ddos-атаки через протокол upnp

21.05.2018
Злоумышленники проводят ddos-атаки через протокол upnp

ИБ-эксперты компании Imperva 14 мая опубликовали отчет, в котором сообщили о минимум двух DDoS-кампаниях с подменой исходных портов. Это позволяет злоумышленникам, совершающим атаки с усилением за счет SSDP, NTP, DNS, а возможно, и других протоколов, обходить средства защиты.

По мнению исследователей, маскировка адресов проводилась с использованием протокола UPnP (Universal Plug and Play). Он позволяет создать систему многоранговых соединений в локальной сети и обычно используется для управления IoT-устройствами.

Многочисленные уязвимости UPnP давно вызывают беспокойство специалистов. Его основные недостатки кроются в небезопасных настройках “по умолчанию” — отсутствии аутентификации и возможности удаленного доступа к роутеру.

Открытый интерфейс WAN позволяет удаленно изменять правила переадресации портов, созданные, чтобы перенаправлять трафик с внутреннего на внешний IP и наоборот. При этом многие маршрутизаторы даже не проверяют, является ли внутренний IP таковым на самом деле.

Эксперты обратили внимание на проблему 11 апреля, когда во время отслеживаемой SSDP-атаки заметили, что около 12% запросов исходило от необычных портов. Пытаясь разобраться в происходящем, они решили воспроизвести этот метод взлома.

Первое, что сделали исследователи — просканировали открытые для нападений маршрутизаторы. Их можно обнаружить как с помощью SSDP-запросов, так и автоматически, используя поисковик Shodan. В результате было найдено более 1,3 млн потенциально уязвимых устройств.

Для подготовки атаки специалисты отправили на выбранное устройство запрос SOAP, чтобы создать правила переадресации, направляющие пакеты, прибывающие в порт UPnP-устройства, на сторонний DNS-сервер. В результате произошла подмена адресов, и эксперты получили возможность использовать маршрутизаторы в качестве прокси, маскируя исходные порты под пользовательские.

В ходе эксперимента аналитики доказали, что новая тактика злоумышленников делает неэффективной фильтрацию запросов по исходному IP и адресу порта. Надежным методом защиты остается переход на глубокую проверку пакетов (DPI), но он требует гораздо больше ресурсов и времени.

Об использовании роутеров в качестве прокси для UPnP-атак в апреле сообщилиисследователи Akamai. Уязвимость протокола позволила злоумышленникам изменить NAT-таблицы и создать ботнет из 65 000 роутеров.

Источник: threatpost.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.