Злоумышленники проводят ddos-атаки через протокол upnp
ИБ-эксперты компании Imperva 14 мая опубликовали отчет, в котором сообщили о минимум двух DDoS-кампаниях с подменой исходных портов. Это позволяет злоумышленникам, совершающим атаки с усилением за счет SSDP, NTP, DNS, а возможно, и других протоколов, обходить средства защиты.
По мнению исследователей, маскировка адресов проводилась с использованием протокола UPnP (Universal Plug and Play). Он позволяет создать систему многоранговых соединений в локальной сети и обычно используется для управления IoT-устройствами.
Многочисленные уязвимости UPnP давно вызывают беспокойство специалистов. Его основные недостатки кроются в небезопасных настройках “по умолчанию” — отсутствии аутентификации и возможности удаленного доступа к роутеру.
Открытый интерфейс WAN позволяет удаленно изменять правила переадресации портов, созданные, чтобы перенаправлять трафик с внутреннего на внешний IP и наоборот. При этом многие маршрутизаторы даже не проверяют, является ли внутренний IP таковым на самом деле.
Эксперты обратили внимание на проблему 11 апреля, когда во время отслеживаемой SSDP-атаки заметили, что около 12% запросов исходило от необычных портов. Пытаясь разобраться в происходящем, они решили воспроизвести этот метод взлома.
Первое, что сделали исследователи — просканировали открытые для нападений маршрутизаторы. Их можно обнаружить как с помощью SSDP-запросов, так и автоматически, используя поисковик Shodan. В результате было найдено более 1,3 млн потенциально уязвимых устройств.
Для подготовки атаки специалисты отправили на выбранное устройство запрос SOAP, чтобы создать правила переадресации, направляющие пакеты, прибывающие в порт UPnP-устройства, на сторонний DNS-сервер. В результате произошла подмена адресов, и эксперты получили возможность использовать маршрутизаторы в качестве прокси, маскируя исходные порты под пользовательские.
В ходе эксперимента аналитики доказали, что новая тактика злоумышленников делает неэффективной фильтрацию запросов по исходному IP и адресу порта. Надежным методом защиты остается переход на глубокую проверку пакетов (DPI), но он требует гораздо больше ресурсов и времени.
Об использовании роутеров в качестве прокси для UPnP-атак в апреле сообщилиисследователи Akamai. Уязвимость протокола позволила злоумышленникам изменить NAT-таблицы и создать ботнет из 65 000 роутеров.