El gran matón de la seguridad de Internet:la denegación de servicio distribuida (DDoS) que altera el tráfico normal de un servidor o red objetivo con una avalancha de solicitudes HTTP, paquetes mal formados. Choque, bam boom. Misiones cumplidas. Los usuarios no pueden volver a entrar.

Jonathan Respeto de Akamai publicó en su blog algunos hallazgos desagradables el miércoles. Un equipo de Akamai había estado comprobando un nuevo vector DDoS que aprovecha una técnica de amplificación UDP conocida como WS-Discovery (WSD). La situación ahora es tal que "múltiples actores de amenazas" están aprovechando este método DDoS para aumentar los ataques.

Para aquellos que están menos familiarizados con la jerga de los descubrimientos, UDP son las siglas de User Datagram Protocol. TechTarget les dice a los lectores que es un protocolo de comunicaciones alternativo al Protocolo de control de transmisión que se utiliza para establecer conexiones de baja latencia y tolerancia a pérdidas entre aplicaciones en Internet.

El miércoles, Respeto escribió en su blog que "Dado que UDP es un protocolo sin estado, las solicitudes al servicio WSD pueden falsificarse ".

WSD son las siglas de Web Services Dynamic Discovery. Catalin Cimpanu en ZDNet describió WSD como "un protocolo de multidifusión que se puede usar en redes locales para 'descubrir' otros dispositivos cercanos que se comunican a través de un protocolo o interfaz en particular".

OK, entonces aquí está el papel feo que WSD está jugando en este caso, como descubrió Respeto de Akamai.

Proporcionó una historia de cómo surgió y el problema ahora:

WSD se envió como un conjunto de funciones y servicio predeterminados a partir de Windows Vista. Se ha incluido en las impresoras HP desde 2008. En cuanto a los dispositivos que el equipo de Acamai descubrió en Internet que exponían y respondían incorrectamente a WSD, "la mayoría consta de cámaras CCTV y sistemas DVR [grabadora de vídeo digital], una tendencia que no sorprende en este momento ".

Anthony Spadafora en TechRadar dijo que la técnica de los atacantes para abusar del protocolo WSD fue "utilizada por una amplia gama de dispositivos de red para conectarse automáticamente entre sí. El protocolo WSD permite que los dispositivos envíen paquetes de protocolo de datagramas de usuario (UDP) a través del puerto 3702 para describir las capacidades y requisitos de un dispositivo ".

¿Qué fue lo primero que puso a Akamai en el camino de las bolas de demolición? Respeto dijo que "uno de nuestros clientes fue atacado. El ataque, que se dirigió a la industria del juego, pesaba 35 / Gbps en el ancho de banda máximo ". El equipo realizó más investigaciones sobre las implementaciones del protocolo WSD:

Respeto dijo que "el SIRT pudo lograr tasas de amplificación de hasta 15, 300% del tamaño de bytes original. Esto coloca a WSD en el cuarto lugar en la clasificación de ataques DDoS por el factor de amplificación reflejado más alto ".

De la empresa proveedora de servicios DDoS-GUARD:

"Ciertos comandos de los protocolos UDP generan respuestas mucho mayores que la solicitud inicial. Anteriormente, los atacantes estaban limitados por el número lineal de paquetes enviados directamente al objetivo para llevar a cabo un ataque DoS; ahora, un solo paquete puede generar entre 10 y 100 veces el ancho de banda original. A esto se le llama amplificación del ataque ".

Algo llamado factor de amplificación de ancho de banda puede medir el efecto potencial de un ataque de amplificación, y se "calcula como el número de bytes de carga útil UDP que envía un amplificador para responder a una consulta, en comparación con el número de bytes de carga útil UDP de la consulta ".

Hay pocas excusas para decir 'y qué' aquí. Spadafora dijo que la amplificación "convierte a WSD en una de las técnicas más poderosas en el arsenal de un hacker para amplificar los ataques DDoS que pueden ser devastadores para las empresas y los consumidores".

Un motivo de preocupación esta vez giraba en torno al conjunto de dispositivos disponibles.

Spadafora:"... la nueva técnica que están empleando los piratas informáticos sigue siendo motivo de preocupación debido al conjunto de dispositivos disponibles que Akamai estima que supera los 802k". Lily Hay Newman en Cableado :"Akamai estima que hasta 800, 000 dispositivos expuestos en Internet pueden recibir comandos WS-Discovery. Lo que significa que enviando 'sondas, una especie de solicitud de pase de lista, puede generar y dirigir una gran cantidad de datos a los objetivos ".

¿Qué ganan los hackers? ¿Qué sacan de esto? Robert Hackett el jueves en Fortuna dio una puñalada a las respuestas. Dijo que dejar fuera de línea a los objetivos en ataques de "denegación de servicio distribuida" era "a veces solo por diversión y risas". otras veces hasta que la víctima pague un rescate ".

¿Mitigación?

Respeto dijo que "Simplemente colocando bloques en el puerto de origen UDP 3702 evitará que el tráfico llegue a sus servidores. Pero eso es solo la mitad del problema, ya que el tráfico sigue congestionando el ancho de banda en su enrutador. Aquí es donde entraría su proveedor de mitigación de DDoS y agregaría la ACL necesaria para bloquear el tráfico de ataque ".

ACL son las siglas de Access Control Lists. Las ACL son los filtros de paquetes de una red, dijo Sistemas iTT . "Pueden restringir, permiso, o negar el tráfico que es esencial para la seguridad. Una ACL le permite controlar el flujo de paquetes para una única o un grupo de direcciones IP o diferentes para los protocolos, como TCP, UDP, ICMP, etc. "

Algunas de las conclusiones de Respeto:

(1) "WSD es un riesgo importante en Internet que puede impulsar un gran ancho de banda utilizando CCTV y DVR". Los fabricantes pueden limitar el alcance del protocolo UDP en el puerto 3702 al espacio IP de multidifusión.

(2) "Las organizaciones deben estar preparadas para enrutar el tráfico a su proveedor de mitigación de DDoS si se ven afectadas por este gran ataque. Debido a sus grandes factores de amplificación, esperamos que los atacantes pierdan poco tiempo aprovechando WSD para su uso como vector de reflexión ".

¿Que sigue?

Hackett vio que los "grupos preocupados por la seguridad" probablemente buscarían persuadir a quienes poseen dispositivos vulnerables, ya sean empresas o consumidores, para que los actualicen. Para los que tienen una mentalidad técnica, él agregó, "eso significa bloquear las comunicaciones al puerto 3702". También pueden recomendar la aplicación de cortafuegos o la eliminación de dispositivos de la Internet pública. "Por último, si el problema se sale de control, Se podrían atraer proveedores de servicios de Internet, bloqueando el tráfico sospechoso ".

© 2019 Science X Network