Protocolo ONVIF usado por 630.000 dispositivos pode ser abusado por ataques DDoS devastadores

Pesquisadores de segurança estão soando o alarme sobre o protocolo de descoberta dinâmica de serviços da Web (WS-DD, WSD ou WS-Discovery), que eles dizem que pode ser abusado para lançar ataques DDoS bastante maciços.

ONVIF usado por 630.000 dispositivos pode ser abusado por ataques DDoS
ONVIF usado por 630.000 dispositivos pode ser abusado por ataques DDoS

O ZDNet descobriu pela primeira vez que esse protocolo estava sendo usado para iniciar ataques DDoS em maio, mas decidimos não publicar nada sobre ele, para evitar chamar atenção desnecessária a um protocolo que estava propenso a abuso, mas ainda estava voando sob o radar.

No entanto, durante o mês recente, vários grupos de ameaças começaram a abusar do protocolo, e os ataques DDoS baseados em WS-Discovery agora se tornaram uma ocorrência semanal.

O QUE É O WS-DISCOVERY

O WS-Discovery é um protocolo multicast que pode ser usado em redes locais para “descobrir” outros dispositivos próximos que se comunicam por meio de um protocolo ou interface específico.

Mais notavelmente, o protocolo é usado para oferecer suporte à descoberta e comunicação entre dispositivos por meio do formato de mensagens SOAP , usando pacotes UDP – por isso, às vezes, é referido como SOAP sobre UDP.

O WS-Discovery não é um protocolo comum ou conhecido, mas foi adotado pelo ONVIF, um grupo do setor que promove interfaces padronizadas para interoperabilidade de produtos em rede.

Os membros do ONVIF incluem Axis, Sony, Bosch e outros que usam os padrões ONVIF como base para seus produtos. Desde meados de 2010, o padrão do grupo recomenda o protocolo WS-Discovery para descoberta de dispositivos como parte da interoperabilidade plug-and-play [ página 9 ].

Como parte desse esforço contínuo de padronização, o protocolo transformou-o em uma série de produtos que incluem desde câmeras IP a impressoras e de eletrodomésticos a DVRs. Atualmente, de acordo com o mecanismo de pesquisa na Internet BinaryEdge, agora existem cerca de 630.000 dispositivos baseados em ONVIF que suportam o protocolo WS-Discovery e estão propensos a abusos.

Varredura do WS-Discovery BE
Imagem: ZDNet

OS ATAQUES DDOS DO WS-DISCOVERY PODEM ALCANÇAR RESULTADOS MASSIVOS

Existem várias razões pelas quais o protocolo WS-Discovery é tão ideal para ataques DDoS.

Primeiro, é um protocolo baseado em UDP, o que significa que o destino do pacote pode ser falsificado. Um invasor pode enviar um pacote UDP ao serviço WS-Discovery de um dispositivo com um endereço IP de retorno forjado. Quando o dispositivo envia uma resposta, ele é enviado para o endereço IP forjado, permitindo que os invasores redirecionem o tráfego nos dispositivos WS-Discovery e o direcionem para o destino desejado dos ataques DDoS.

Segundo, a resposta do WS-Discovery é muitas vezes maior que a entrada inicial. Isso permite que os atacantes enviem um pacote inicial para um dispositivo WS-Discover, que rejeita a resposta a uma vítima de ataque DDoS várias vezes o seu tamanho inicial.

É isso que os pesquisadores de segurança chamam de fator de amplificação de DDoS, e isso permite que invasores com acesso a recursos limitados iniciem ataques massivos de DDoS, amplificando o tráfego indesejado em dispositivos vulneráveis.

No caso do WS-Discovery, o protocolo foi observado em ataques DDoS do mundo real com fatores de amplificação de até 300 e até 500. Esse é um fator de amplificação gigantesco, levando em consideração que a maioria dos outros protocolos UDP possui fatores semelhantes. até 10, em média.

A boa notícia é que houve muito poucos ataques de DDoS do WS-Discovery com fatores de amplificação de 300 ou 500, que parecem ser a singularidade, e não a norma.

De acordo com a ZeroBS GmbH, uma empresa de cibersegurança que acompanha a recente onda de ataques DDoS do WS-Discovery que ocorreram este mês , um fator de amplificação mais comum era o normal, de até 10.

No entanto, um script de prova de conceito para o lançamento de ataques WS-Discovery DDoS publicado no GitHub no final de 2018 afirma que pode atingir entre 70 e 150 fatores de amplificação [o ZDNet não estará vinculado ao script, por razões óbvias], portanto ainda existe o risco de que um agente sofisticado de ameaça acabe armando esse protocolo com todo o seu potencial.

ATAQUES ANTERIORES AO DDOS DO WS-DISCOVERY

Os primeiros ataques que violam o protocolo WS-Discovery em larga escala foram relatados no início de maio pelo pesquisador de segurança Tucker Preston .

O pesquisador disse ao ZDNet que observei mais de 130 ataques DDoS na época, com alguns atingindo tamanhos acima de 350 Gbps. Esses ataques foram posteriormente confirmados pela Netscout em um relatório publicado no mês passado [ página 28 ].

Ataques do WS-Discovery May
Ataques WS-Discovery DDoS, maio de 2019Imagem via Tucker Preston

Os ataques diminuíram nos meses seguintes, mas retomaram em agosto, informou o ZeroBS ao ZDNet hoje.

Diferentemente das primeiras ondas de ataques do WS-Discovery, elas eram muito menores e provavelmente foram realizadas por agentes de ameaças que não estavam totalmente cientes das capacidades do protocolo ou que não tinham meios técnicos para explorá-lo em todo o seu potencial. .

O ZeroBS disse que esses últimos ataques atingiram apenas um máximo de 40 Gbps, fatores de amplificação de não mais que 10, e que apenas 5.000 dispositivos (principalmente câmeras IP e impressoras) foram presos nos botnets que estavam lançando esses ataques.

Atividade de varredura do WS-Discovery
Imagem via ZeroBS GmbH

No momento, os ataques DDoS do WS-Discovery não atingiram um estágio em que ocorrem diariamente, nem estão sendo usados ​​em todo o seu potencial, com muitos ataques ainda usando apenas uma fração do total de dispositivos WS-Discovery disponíveis on-line e alcançando apenas pequenos fatores de amplificação.

No entanto, o grande número de dispositivos que estão expondo a porta WS02 do WS-Discovery 3702 na Internet fará desse protocolo o favorito entre os operadores de botnets nos próximos meses.

Os provedores de serviços de Internet ainda têm tempo para implantar medidas de proteção nos limites de sua rede para bloquear o tráfego da Internet direcionada à porta 3702 nos dispositivos dentro de sua rede.

Soluções simples como essas ajudarão a impedir que as botnets abusem desses dispositivos para ataques futuros, mas, como vimos no passado, a implementação de tais medidas geralmente leva alguns meses, e sempre há alguns ISPs que não conseguem agir e deixam os dispositivos expostos na internet que facilita futuros ataques DDoS.

 

Origem: ZDNet

 

Marcelo Peres

mpperes@guiadocftv.com.br

Guia do CFTV

Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?

Gostaria de sugerir alguma notícia ou entrar em contato, clique Aqui!

Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’

Eng° Marcelo Peres

Eng° Eletricista Enfase em Eletrônica e TI, Técnico em Eletrônica, Consultor de Tecnologia, Projetista, Supervisor Técnico, Instrutor e Palestrante de Sistemas de Segurança, Segurança, TI, Sem Fio, Usuário Linux.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.