Il grande bullo della sicurezza in Internet:Distributed Denial of Service (DDoS) che incasina il traffico normale di un server o di una rete mirati con una marea di richieste HTTP, pacchetti malformati. Incidente, bam boom. Missioni compiute. Gli utenti non possono rientrare.

Mercoledì, Jonathan Respeto di Akamai ha pubblicato sul blog alcune brutte scoperte. Un team di Akamai stava verificando un nuovo vettore DDoS che sfrutta una tecnica di amplificazione UDP nota come WS-Discovery (WSD). La situazione ora è tale che "più attori delle minacce" stanno sfruttando questo metodo DDoS per aumentare gli attacchi.

Per coloro che hanno meno familiarità con il gergo della scoperta, UDP sta per User Datagram Protocol. TechTarget dice ai lettori che è un protocollo di comunicazione alternativo al protocollo di controllo della trasmissione utilizzato per stabilire connessioni a bassa latenza e tolleranza di perdita tra le applicazioni su Internet.

Di mercoledì, Respeto ha scritto sul blog che "Dal momento che UDP è un protocollo stateless, le richieste al servizio WSD possono essere falsificate."

WSD sta per Web Services Dynamic Discovery. Catalin Cimpanu in ZDNet ha descritto WSD come "un protocollo multicast che può essere utilizzato su reti locali per 'scoprire' altri dispositivi vicini che comunicano tramite un particolare protocollo o interfaccia".

OK, allora ecco il brutto ruolo che WSD sta giocando in questo caso, come ha scoperto Respeto di Akamai.

Ha fornito una storia di come è successo e dei problemi ora:

WSD è stato fornito come set di funzionalità e servizio predefiniti a partire da Windows Vista. È stato incluso nelle stampanti HP dal 2008. Per quanto riguarda i dispositivi che il team Acamai ha scoperto su Internet per esporre e rispondere in modo errato a WSD, "la maggior parte è costituita da telecamere CCTV e sistemi DVR [videoregistratori digitali], una tendenza che a questo punto non sorprende".

Antonio Spadafora in TechRadar ha affermato che la tecnica degli aggressori nell'abusare del protocollo WSD è stata "utilizzata da un'ampia gamma di dispositivi di rete per connettersi automaticamente l'uno all'altro. Il protocollo WSD consente ai dispositivi di inviare pacchetti UDP (User Datagram Protocol) sulla porta 3702 per descrivere le capacità e requisiti di un dispositivo."

Cosa ha messo Akamai sulla pista della palla da demolizione? Respeto ha detto che "uno dei nostri clienti è stato preso di mira. L'attacco, che ha preso di mira l'industria dei giochi, pesato a 35/Gbps alla larghezza di banda di picco." Ulteriori ricerche da parte del team sono state effettuate sulle implementazioni del protocollo WSD:

Respeto ha affermato che "la SIRT è stata in grado di raggiungere tassi di amplificazione fino a 15, 300% della dimensione in byte originale. Questo pone WSD al 4° posto nella classifica degli attacchi DDoS per il più alto fattore di amplificazione riflessa."

Dalla società di servizi DDoS-GUARD:

"Alcuni comandi ai protocolli UDP suscitano risposte che sono molto più grandi della richiesta iniziale. In precedenza, gli aggressori erano limitati dal numero lineare di pacchetti inviati direttamente al bersaglio per eseguire un attacco DoS; ora un singolo pacchetto può generare da 10 a 100 volte la larghezza di banda originale. Questa si chiama amplificazione dell'attacco".

Qualcosa chiamato fattore di amplificazione della larghezza di banda può misurare l'effetto potenziale di un attacco di amplificazione, ed è "calcolato come il numero di byte di payload UDP che un amplificatore invia per rispondere a una query, rispetto al numero di byte di payload UDP della query."

Ci sono poche scuse per dire "e allora" qui. Spadafora ha affermato che l'amplificazione "rende WSD una delle tecniche più potenti nell'arsenale di un hacker per amplificare gli attacchi DDoS che possono essere paralizzanti per aziende e consumatori".

Un motivo di preoccupazione questa volta dipendeva dal pool di dispositivi disponibili.

Spadafora:"...la nuova tecnica utilizzata dagli hacker è ancora motivo di preoccupazione a causa del pool di dispositivi disponibili che Akamai stima sia superiore a 802k." Lily Hay Newman in Cablato :"Akamai stima che ben 800, 000 dispositivi esposti su Internet possono ricevere comandi WS-Discovery. Il che significa che inviando "sonde, una sorta di appello nominale, puoi generare e dirigere una serie di dati sui bersagli."

Cosa c'è dentro per gli hacker? Cosa ne ricavano? Robert Hackett giovedì in Fortuna ha preso una pugnalata alle risposte. Ha detto che colpire i bersagli offline negli attacchi "distributed denial of service" era "a volte solo per calci e risatine, altre volte finché una vittima non paga il riscatto".

Mitigazione?

Respeto ha affermato che "Il solo posizionamento di blocchi sulla porta di origine UDP 3702 impedirà al traffico di raggiungere i tuoi server. Ma questa è solo la metà del problema, poiché il traffico sta ancora congestionando la larghezza di banda sul router. È qui che entra in gioco il tuo provider di mitigazione DDoS e aggiunge l'ACL necessario per bloccare il traffico di attacco".

ACL sta per Access Control Lists. Gli ACL sono i filtri dei pacchetti di una rete, disse iTT Systems . "Possono limitare, permesso, o negare il traffico essenziale per la sicurezza. Un ACL consente di controllare il flusso dei pacchetti per un singolo o gruppo di indirizzi IP o diversi per protocolli, come TCP, UDP, ICMP, eccetera."

Alcune delle conclusioni di Respeto:

(1) "WSD è un grave rischio su Internet che può spingere una certa larghezza di banda utilizzando CCTV e DVR.". I produttori possono limitare l'ambito del protocollo UDP sulla porta 3702 allo spazio IP multicast.

(2) "Le organizzazioni dovrebbero essere pronte a instradare il traffico al loro provider di mitigazione DDoS se vengono colpite da questo attacco di grandi dimensioni. A causa dei suoi grandi fattori di amplificazione, ci aspettiamo che gli aggressori sprechino poco tempo a sfruttare WSD da utilizzare come vettore di riflessione".

Qual è il prossimo?

Hackett riteneva che i "gruppi orientati alla sicurezza" avrebbero probabilmente cercato di persuadere coloro in possesso di dispositivi vulnerabili, siano essi aziende o consumatori, ad aggiornarli. Per i tecnici, Ha aggiunto, "questo significa bloccare le comunicazioni alla porta 3702." Possono anche consigliare l'applicazione di firewall o la rimozione di dispositivi dalla rete Internet pubblica. "In definitiva, se il problema sfugge di mano, I fornitori di servizi Internet potrebbero essere coinvolti, bloccare il traffico sospetto."

© 2019 Scienza X Rete