Esse novo tipo de ataque DDoS aproveita uma antiga vulnerabilidade

A nova técnica tem “o potencial de colocar qualquer empresa com uma presença online em risco de ataque”, alertam os pesquisadores.

Uma nova forma descoberta de ataque DDoS aproveita uma vulnerabilidade de segurança bem conhecida, mas ainda explorável, no protocolo de rede UPnP (Universal Plug and Play) para permitir que invasores ignorem métodos comuns para detectar suas ações.

Os ataques são lançados de portas de origem irregular, dificultando a determinação de sua origem e a inclusão de portas na lista negra, a fim de proteger contra incidentes futuros.

A nova forma de ataque distribuído de negação de serviço foi descoberta e detalhada por pesquisadores da empresa de segurança Imperva , que afirma ter sido usada por atacantes desconhecidos duas vezes.

O protocolo UPnP é comumente usado para a descoberta de dispositivos, especialmente por dispositivos da Internet of Things, que o utilizam para se encontrar e se comunicar em uma rede local.

O protocolo ainda é usado, apesar dos problemas conhecidos relacionados a configurações padrão ruins, falta de autenticação e vulnerabilidades de execução remota de código específicas do UPnP, que tornam os dispositivos vulneráveis ​​a ataques.

-Assim como o muito discutido caso de dispositivos de IoT facilmente exploráveis, a maioria dos fornecedores de dispositivos UPnP prefere se concentrar na conformidade com o protocolo e entrega fácil, em vez de segurança”, disse Avishay Zawoznik, líder de equipe de pesquisa de segurança da Imperva.

-Muitos fornecedores reutilizam implementações de servidores UPnP abertos para seus dispositivos, sem se preocupar em modificá-los para um melhor desempenho de segurança.”

Exemplos de problemas com o protocolo remontam a 2001, mas a simplicidade de usá-lo significa que ele ainda é amplamente implementado. No entanto, os pesquisadores da Imperva afirmam que a descoberta de como ele pode ser usado para tornar os ataques DDoS mais difíceis de atacar pode significar problemas generalizados.

-Descobrimos uma nova técnica de ataque DDoS, que usa vulnerabilidades conhecidas, e tem o potencial de colocar qualquer empresa com uma presença online em risco de ataque”, disse Zawoznik.

Os pesquisadores perceberam que algo era novo durante um ataque do SSDP (Simple Service Discovery Protocol) em abril. Esse tipo de botnet tende a ser pequeno e falsifica os endereços IP da vítima para consultar dispositivos comuns conectados à Internet, como roteadores, impressoras e pontos de acesso.

Enquanto a maioria dos ataques estava chegando do número de porta SSDP usual de 1900, cerca de 12% das cargas estavam chegando de portas de origem aleatórias. A Imperva investigou e descobriu que um método de ataque integrado a UPnP poderia ser usado para ocultar informações de porta de origem.

Os invasores poderiam facilmente encontrar dispositivos para aproveitar usando o mecanismo de busca Shodan IoT – os pesquisadores descobriram mais de 1,3 milhão de dispositivos que poderiam ser explorados, especialmente se o atacante usasse scripts para automatizar a descoberta.

Para não ser vítima disso, as empresas “devem criar uma proteção contra DDoS baseada nas cargas de pacotes, em vez de apenas nas portas de origem”, disse Zawoznik.

No entanto, os pesquisadores observam que há uma maneira relativamente simples de proteger os sistemas contra essa e outras explorações do UNPnP: apenas impedir que o dispositivo seja acessado remotamente, porque, na grande maioria dos casos, eles observam que “ele não tem função útil ou tem benefício para usuários de dispositivos “.