ddos sobiu 180% em 2019

Novo vetor pode amplificar DDoS em até 2.200 vezes

Da Redação
25/04/2023

Pesquisadores de segurança descobriram uma vulnerabilidade em um serviço de rede baseado em UDP (User Datagram Protocol), chamado Service Location Protocol (SLP), que pode ser usada para amplificar ataques distribuídos de negação de serviço (DDoS) em até 2.200 vezes. Dezenas de milhares de sistemas e dispositivos têm esse serviço exposto à internet. Os invasores podem usá-los para gerar ataques em massa e freá-los provavelmente levará muito tempo.

A falha foi descoberta por pesquisadores da empresa de cibersegurança Bitsight & Curesec, que observaram que, ao permitir aos invasores explorar os terminais SLP de uma maneira específica, gerará grandes respostas e, em seguida, refletirá essas respostas nas vítimas.

A reflexão DDoS é uma técnica de ataque que se baseia no envio de tráfego para um servidor e no envio de sua resposta para um endereço IP diferente. Esse tipo de ataque geralmente funciona com protocolos de comunicação construídos sobre o UDP que, junto com o Transmission Control Protocol (TCP), é um dos principais protocolos para transmissão de dados pela internet. Ao contrário do TCP, no entanto, o UDP foi criado para velocidade e não possui verificações adicionais, tornando-o suscetível por design à falsificação de endereço de origem. Isso significa que um invasor pode enviar um pacote UDP para um servidor, mas colocar um endereço IP de origem diferente no pacote em vez do seu próprio. Isso fará com que o servidor envie sua resposta para qualquer endereço IP de origem definido.

Além do efeito de reflexão, que oculta o verdadeiro originador do tráfego, com certos protocolos baseados em UDP, o tráfego resultante também pode ser amplificado, o que significa que a resposta gerada é muito maior do que a solicitação original. Isso é conhecido como amplificação DDoS e é muito útil para os invasores porque permite que eles gerem mais tráfego não solicitado para um alvo do que poderiam se enviassem pacotes diretamente para ele das máquinas sob seu controle.

A amplificação DDoS funciona com uma variedade de protocolos, incluindo DNS (Domain Name System), mDNS (multicast DNS), NTP (Network Time Protocol), SSDP (Simple Service Discovery Protocol), SNMP (Simple Network Management Protocol) e outros porque todos usam UDP para transmissão. Servidores expostos à Internet que aceitam pacotes nesses protocolos e geram respostas podem, portanto, ser abusados ​​para amplificação de DDoS e, historicamente, têm sido usados ​​para gerar alguns dos maiores ataques de DDoS até o momento.

O SLP é um protocolo herdado que data de 1997 e foi criado para ser usado em redes locais para descoberta automatizada de serviços e configuração dinâmica entre aplicativos. O daemon SLP em um sistema manterá um diretório de serviços disponíveis, como impressoras, servidores de arquivos e outros recursos de rede. Ele escutará as solicitações na porta UDP 427.

Embora o SLP não fosse exposto fora das redes locais, os pesquisadores da Bitsight & Curesec identificaram mais de 54 mil dispositivos que aceitam conexões SLP na internet. Esses dispositivos pertencem a mais de 2 mil organizações de todo o mundo e abrangem 670 tipos diferentes de produtos, incluindo instâncias VMware ESXi Hypervisor, impressoras Konica Minolta, roteadores Planex, IBM Integrated Management Module (IMM) e SMC IPMI.

Como muitos outros protocolos baseados em UDP, as instâncias SLP públicas podem ser exploradas para amplificação de DDoS porque os invasores podem consultar os serviços disponíveis em um servidor SLP, que é uma solicitação de 29 bytes, e a resposta do servidor normalmente terá entre 48 e 350 bytes. Esse é um fator de amplificação entre 1,6 vez e 12 vezes. No entanto, os pesquisadores descobriram que muitas implementações SLP permitem que usuários não autenticados registrem novos serviços arbitrários em um terminal SLP, aumentando assim as respostas subsequentes do servidor até o limite prático de pacotes UDP, que é de 65.536 bytes.

Veja isso
Ataques DDoS a sites HTTP e HTTPS saltam 487% em três anos
Nova botnet pode lançar ataques DDoS massivos de 3.3 Tbps

Devido ao elevado número de produtos afetados, os pesquisadores coordenaram a divulgação da vulnerabilidade por meio da Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA, que emitiu seu próprio alerta. A VMware também emitiu um comunicado para o ESXi, mas observou que apenas as versões em fim de vida útil do hipervisor são afetadas.

A vulnerabilidade é rastreada como CVE-2023-29552 e tem uma classificação de gravidade CVSS de 8,6 (alta). “O SLP deve ser desabilitado em todos os sistemas que rodam em redes não confiáveis, como aqueles conectados diretamente à internet”, disseram os pesquisadores. “Se isso não for possível, os firewalls devem ser configurados para filtrar o tráfego na porta UDP e TCP 427. Isso impedirá que invasores externos acessem o serviço SLP.”

Compartilhar: