Группа быстрого реагирования на компьютерные инциденты (CERT), работающая под эгидой министерства внутренней безопасности США, выпустила информационный бюллетень, предупреждая сетевых операторов об уязвимости в протоколе Multicast DNS (mDNS), чреватой утечкой информации об использующих его устройствах. Эта информация может оказаться полезной для инициаторов мощных DDoS-атак по методу усиления трафика.

«Мне кажется, такие уязвимости опасны прежде всего тем, что их можно использовать в DDoS-кампаниях, — предостерегает Чэд Симэн (Chad Seaman), ИБ-исследователь, обнаруживший данную брешь. — Этот протокол использует UDP-пакеты (источник которых легко подменить), и коэффициент усиления в большинстве таких случаев с лихвой превышает 100%. Мы уже наблюдали рост массовых злоупотреблений на примере SSDP-устройств, которые злоумышленники задействовали для отражения мусорного трафика. Аналогичные возможности предоставляет и mDNS, но усиление в данном случае будет выше. К счастью, в дикой природе уязвимых mDNS-устройств намного меньше».

В бюллетене CERT перечислены вендоры, чьи устройства подвержены данной уязвимости, в том числе Canon, HP и IBM. Продукцию Cisco, D-Link и Microsoft она не затрагивает, об остальных данных пока нет. По словам Симэна, mDNS используется в основном на потребительских устройствах (смартфонах, принтерах, NAS-системах, медийных гаджетах) в целях упрощения настройки и интеграции с сетевыми сервисами.

Проблема в том, что mDNS-устройства способны также отвечать на одноадресные запросы, отправляемые вне локальной сети. Их ответы могут включать данные о сети и подключенных к ней устройствах, что облегчает жизнь дидосерам. В публикации CERT также подчеркнут тот факт, что mDNS позволяет устройствам в локальной сети опознавать другие сервисы и устройства. Согласно рекомендациям по реализации mDNS, закрепленным в стандарте RFC 6762, такие устройства не должны отвечать на внешние одноадресные запросы.

«Этим очень легко воспользоваться с недоброй целью, — поясняет Симэн. — Достаточно лишь подать стандартный DNS-запрос с именем конкретной строки или сервиса на порту 5353. Если вам возвратят ответ на самый общий запрос, значит, машина работает на прием через WAN-интерфейс, что недопустимо».

Объем сливаемой информации зависит от конкретного устройства и от настроек службы, которую оно поддерживает. Полезные злоумышленнику данные могут включать имена устройств, номера моделей, серийные номера, информацию о конфигурации сети и другие сведения.

Американская CERT рекомендует блокировать входящий и исходящий mDNS-трафик на уровне WAN или вовсе отключить mDNS-сервисы. При проведении DDoS с использованием mDNS-посредников, равно как и других атак с плечом, мусорный трафик направляется на конкретный онлайн-сервис, и в большинстве случаев злоумышленники очень быстро выводят его из строя.

«Владелец сети, подвергшейся абьюзу, заметит лишь большое количество входящих DNS-запросов на порту 5353, источник которых, скорее всего, подменен, чтобы сработала техника отражения, — комментирует Симэн. — Жертва нападения будет фиксировать многочисленные ответы, исходящие с разных устройств. Однако, поскольку mDNS, согласно RFC, использует исключительно порт 5353, все запросы при атаке на отражение будут поступать только на этом порту. Это значит, что защита уязвимых устройств в данном случае предельно проста — достаточно лишь заблокировать порт 5353 и запретить на нем весь входящий трафик».

В подтверждение своих слов исследователь выложил на GitHub примерные сигнатуры мусорного трафика, исходящего с уязвимых mDNS-устройств в ходе гипотетической DDoS-атаки с плечом.

Категории: DoS-атаки, Главное, Уязвимости