Il protocollo utilizzato da 630.000 dispositivi può essere oggetto di abusi per devastanti attacchi DDoS

I ricercatori di sicurezza stanno lanciando l’allarme sul protocollo Web Services Dynamic Discovery (WS-DD, WSD o WS-Discovery), che secondo loro può essere sfruttato per lanciare attacchi DDoS piuttosto massicci.

ZDNet abbiamo appreso per la prima volta che questo protocollo veniva utilizzato per lanciare attacchi DDoS a maggio, ma abbiamo deciso di non pubblicare nulla a questo proposito, per evitare di attirare inutilmente l’attenzione su un protocollo che era maturo per gli abusi ma che era ancora sotto il controllo radar.

Tuttavia, durante l’ultimo mese, diversi gruppi di minacce hanno iniziato ad abusare del protocollo e gli attacchi DDoS basati su WS-Discovery sono ormai diventati un evento settimanale.

Cos'è WS-Discovery

WS-Discovery è un protocollo multicast che può essere utilizzato su reti locali per "scoprire" altri dispositivi vicini che comunicano tramite un particolare protocollo o interfaccia.

In particolare, il protocollo viene utilizzato per supportare il rilevamento e le comunicazioni tra dispositivi tramite il dominio SAPONE formato di messaggistica, utilizzando pacchetti UDP, ecco perché a volte viene chiamato SOAP-over-UDP.

WS-Discovery non è un protocollo comune o ben noto, ma è stato adottato da ONVIF, un gruppo industriale che promuove interfacce standardizzate per l'interoperabilità dei prodotti di rete.

I membri ONVIF includono Axis, Sony, Bosch e altri, che utilizzano gli standard ONVIF come base per i loro prodotti. Dalla metà degli anni 2010, lo standard del gruppo raccomanda il protocollo WS-Discovery per il rilevamento dei dispositivi come parte dell'interoperabilità plug-and-play.pagina 9].

Nell'ambito di questo continuo sforzo di standardizzazione, il protocollo è stato inserito in una serie di prodotti che includono qualsiasi cosa, dalle telecamere IP alle stampanti e agli elettrodomestici. ai DVR. Attualmente, secondo il motore di ricerca Internet BinaryEdge, ci sono quasi 630.000 dispositivi basati su ONVIF che supportano il protocollo WS-Discovery e sono maturi per abuso.

Gli attacchi DDoS WS-Discovery possono raggiungere risultati enormi

Sono molteplici le ragioni per cui il protocollo WS-Discovery è ideale per gli attacchi DDoS.

Innanzitutto è un protocollo basato su UDP, il che significa che la destinazione del pacchetto può essere falsificata. Un utente malintenzionato può inviare un pacchetto UDP al servizio WS-Discovery di un dispositivo con un indirizzo IP di ritorno contraffatto. Quando il dispositivo restituisce una risposta, la invierà all'indirizzo IP contraffatto, consentendo agli aggressori di rimbalzare il traffico sui dispositivi WS-Discovery e indirizzarlo al bersaglio desiderato dei loro attacchi DDoS.

In secondo luogo, la risposta di WS-Discovery è molte volte più grande dell'input iniziale. Ciò consente agli aggressori di inviare un pacchetto iniziale a un dispositivo WS-Discover, che rimbalza la risposta alla vittima di un attacco DDoS a un numero di volte superiore alla sua dimensione iniziale.

Questo è ciò che i ricercatori della sicurezza chiamano fattore di amplificazione DDoS e questo lo consente agli aggressori accesso a risorse limitate per lanciare massicci attacchi DDoS amplificando il traffico spazzatura sui vulnerabili dispositivi.

Nel caso di WS-Discovery, il protocollo è stato osservato in attacchi DDoS reali con fattori di amplificazione fino a 300 e persino 500. Si tratta di un fattore di amplificazione gigantesco, tenendo conto che la maggior parte degli altri protocolli UDP hanno fattori simili fino a 10, in media.

La buona notizia è che ci sono stati pochissimi attacchi DDoS WS-Discovery con fattori di amplificazione di 300 o 500, il che sembra essere una stranezza piuttosto che la norma.

Secondo ZeroBS GmbH, una società di sicurezza informatica che ha monitorato il recente ondata di attacchi DDoS WS-Discovery avvenuta questo mese, un fattore di amplificazione più comune era normale fino a 10.

Tuttavia, uno script proof-of-concept per il lancio di attacchi DDoS WS-Discovery pubblicato su GitHub alla fine del 2018 afferma che può raggiungere tra 70 e 150 fattori di amplificazione [ZDNet non si collegherà allo script, per ovvie ragioni], quindi c'è ancora il pericolo che un sofisticato autore di minacce finisca per sfruttare questo protocollo sfruttando tutto il suo potenziale.

Attacchi DDoS WS-Discovery precedenti

I primi attacchi su larga scala che sfruttavano il protocollo WS-Discovery sono stati segnalati per la prima volta all'inizio di maggio da un ricercatore di sicurezza Tucker Preston.

Il ricercatore ha detto ZDNet di aver osservato all'epoca oltre 130 attacchi DDoS, alcuni dei quali raggiungevano dimensioni superiori a 350 Gbps. Questi attacchi sono stati successivamente confermati da Netscout in un rapporto pubblicato il mese scorso [pagina 28].

Gli attacchi si sono attenuati nei mesi successivi, ma sono ripresi di nuovo ad agosto, ha detto ZeroBS ZDNet Oggi.

A differenza delle prime ondate di attacchi WS-Discovery, questi erano molto più piccoli e molto probabilmente venivano eseguiti da autori di minacce che non erano pienamente consapevoli delle capacità del protocollo o non avevano i mezzi tecnici per sfruttarlo al meglio potenziale.

ZeroBS ha affermato che questi ultimi attacchi hanno raggiunto solo un massimo di 40 Gbps, con fattori di amplificazione non superiori a 10, e che solo 5.000 dispositivi (per lo più fotocamere IP e stampanti) erano stati rinchiusi nelle botnet che stavano lanciando questi attacchi.

Al momento, gli attacchi DDoS WS-Discovery non hanno raggiunto uno stadio in cui si verificano quotidianamente, né vengono utilizzati al massimo delle loro potenzialità, con molti attacchi utilizzano ancora solo una frazione del totale dei dispositivi WS-Discovery disponibili online e ottengono solo piccoli fattori di amplificazione.

Tuttavia, il gran numero di dispositivi che attualmente espongono la porta WS-Discovery 3702 su Internet renderà questo protocollo uno dei preferiti tra gli operatori di botnet nei prossimi mesi.

I fornitori di servizi Internet hanno ancora tempo per implementare misure protettive ai confini della loro rete per bloccare il traffico proveniente da Internet destinato alla porta 3702 sui dispositivi all’interno della loro rete.

Soluzioni semplici come queste aiuteranno a impedire alle botnet di abusare di questi dispositivi per attacchi futuri, ma, come abbiamo visto in passato, l'implementazione di tali dispositivi le misure richiedono solitamente alcuni mesi e ci sono sempre alcuni ISP che non agiscono e lasciano i dispositivi esposti su Internet che facilitano futuri attacchi DDoS attacchi.