1 2 3 4 5 6

Crecen los ataques DDoS utilizando el protocolo SSDP

SCMagazine.com 17-Oct-2014

El protocolo Simple Service Discovery Protocol (Protocolo Simple de Descubrimiento de Servicios, SSDP por sus siglas en inglés) el cual es parte del protocolo Universal Plug and Play (UPnP) está siendo utilizado para realizar ataques de Denegación de Servicio Distribuido (DDoS) de reflexión y amplificación, de acuerdo al boletín de seguridad publicado por el Prolexic's Security Engineeering and Response Team (PLXsert) y publicado por Akamai.

SSDP permite a los dispositivos en red conectarse con otros, como equipos de cómputo, impresoras, gateways, acces points, dispositivos móviles, módems, consolas de video juegos, etc.

Los atacantes han descubierto que el Protocolo Simple Object Access Protocol (SOAP), utilizado para entregar mensajes de control y envió de mensajes a los dispositivos UPnP, puede ser utilizado de manera maliciosa al realizar peticiones manipuladas para obtener respuestas con paquetes grandes, los cuales serán redirigidos a la víctima.

El valor de la amplificación es pequeño en comparación al valor obtenido utilizado otros protocolos para realizar ataques de amplificación. Sin embargo es un ataque efectivo que está tomando popularidad.

Chad Seaman, ingeniero del PLXsert comenta lo siguiente: "El componente más importante en este tipo de ataques radica en el número de dispositivos (millones) que pueden ser utilizados como vectores de ataque para realizar el DDoS. Con tantos dispositivos desplegados en una gran variedad de productos, se vuelve complicado monitoréalos y actualizarlos."

PLXsert encontró más de cuatro millones de dispositivos UPnP conectados a Internet que podrían ser utilizados en ataques de amplificación. Aproximadamente el 38% de los dispositivos UPnP se encuentran en países como Corea, EUA, Canadá, China, Argentina y Japón. Corea confirmó el primer lugar debido a un sólo dispositivo pero no se entró en detalles al respecto.

"Cuando introduces hardware utilizado en millones de dispositivos, la seguridad debe de ser tomada en cuenta tanto como la funcionalidad. Si un sólo fabricante implementa el servicio UPnP/SSDP apropiadamente, cientos de miles de dispositivos no serían vulnerables."

Los atacantes están dirigiendo el tráfico malicioso a un amplio rango de industrias, como entretenimiento, procesamiento de pagos, educación o hosting, según el comunicado. En un ataque mitigado por Akamai, la compañía observó tráfico que alcanzó los 4.35 Gb por segundo y 17.85 millones de paquetes por segundo.

La recomendación es "como usuario, deshabilitar UPnP en routers y dispositivos públicos que no lo requieren. Como fabricante, desarrollar aplicaciones para el firmware de los dispositivos para que el servicio esté disponible en la LAN a la que pertenece el equipo".

Seaman comentó que las víctimas verán tráfico proveniente del puerto 1900. "Una posible protección podría ser bloquear tráfico UDP al puerto 1900 en servicios públicos, si es que la organización puede manejar el ancho de banda."

Fuente: SCMagazine.com FP

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT