Группа реагирования на DDoS-инциденты (Prolexic SERT, PLXsert), работающая в составе Akamai, выпустила информационный бюллетень, предупреждая о новой угрозе — атаках с участием устройств, использующих набор сетевых протоколов UPnP. Надо заметить, что ключевым элементом стандарта UPnP является протокол SSDP, определяющий механизмы обнаружения сервисов; эту службу, которая активна на миллионах домашних и офисных устройств, и используют в данном случае дидосеры.

«Злоумышленники используют этот вектор при проведении мощных DDoS-атак, — отмечает Стюарт Шолли (Stuart Scholly), первый вице-президент и руководитель ИБ-направления Akamai Technologies. — Число UPnP-устройств, которые могут работать как открытые рефлекторы, огромно, и многие из них подключаются к Интернету из домашней сети, что сильно затрудняет патчинг. Чтобы снизить риски и взять под контроль эту угрозу, требуется активное вмешательство вендоров прошивок, приложений и оборудования». По словам эксперта, дальнейшее развитие этой техники DDoS можно ожидать в ближайшем будущем.

Первые случаи использования UPnP-устройств в качестве посредников для усиления и отражения трафика PLXsert зафиксировала в июле; впоследствии эксперты обнаружили в Сети 4,1 млн роутеров, медиасерверов, веб-камер, смарт-телевизоров, принтеров и пр., потенциально привлекательных для дидосеров. По оценке Prolexic, это примерно 38% совокупной армии UPnP-устройств, работающих в разных странах. Наибольшее число открытых к абьюзам UPnP обнаружено в Южной Корее, много их также в США, Канаде, Китае, Аргентине и Японии.

По данным Prolexic, мишени SSDP-атак весьма разнообразны; на настоящий момент такие инциденты зафиксированы в индустрии развлечений (28,6% атак), платежном сервисе (21,4%), сфере образования (21,4%), СМИ (14,3%) и гостиничном бизнесе. Самая мощная DDoS с SSDP-плечом, которую довелось отражать экспертам, на пике показала 54 Гб/с и около 18 Мpps (млн пакетов в секунду).

В информационном бюллетене PLXsert поэтапно описан ход PoC-атаки, которую исследователи воспроизвели в лабораторных условиях, получив коэффициент усиления 33%. Они также рассматривают два Python-скрипта, используемых itw для поиска открытых к абьюзам устройств и проведения DDoS-атак с SSDP-плечом.

Об угрозе SSDP-атак недавно предупредил также другой специалист по DDoS-защите, Arbor Networks. Полнотекстовый отчет Prolexic можно посмотреть на сайте компании (требуется регистрация).

Категории: DoS-атаки, Главное