最近的分布式拒绝服务(DDoS)攻击展现通过模糊源端口数据绕过现有防御机制的新特性。
网络安全解决方案提供商Imperva称,除了常见的放大攻击方法,新观测到的攻击使用了DDoS防御者没想到的非常规源端口数据。该攻击方法利用的是著名的UPnP(通用即插即用)协议漏洞。
UPnP协议允许通过 UDP 1900 端口发现设备,并允许使用任意TCP端口进行设备控制。因此,很多IoT设备都用该协议在局域网(LAN)上相互发现并通信。
我有几张阿里云幸运券分享给你,用券购买或者升级阿里云相应产品会有特惠惊喜哦!把想要买的产品的幸运券都领走吧!快下手,马上就要抢光了。
然而,开放远程访问的设备默认设置、身份验证机制的缺乏,以及UPnP远程代码执行漏洞,令该协议构成了安全风险。
UPnP相关漏洞早在20年前就被安全研究人员披露了,除此之外,简单对象访问协议(SOAP) API调用也可用于通过广域网(WAN)远程重配置不安全设备。控制端口转发规则的AddPortMapping指令同样能经 SOAP API 调用远程执行。
2018年4月11日,Imperva在缓解某简单服务发现协议(SSDP)放大攻击时,注意到某些攻击载荷不是来自UDP/1900,而是来自一个非预期的源端口。几周后的另一个攻击中,同样的方法再次出现。
Imperva称:“对这些事件的调查,让我们构建出集成了UPnP的攻击方法的概念验证代码(PoC),可被用于模糊任意放大攻击载荷的源端口信息。”
想要使用该PoC执行DNS放大攻击,先得利用Shodan之类公开在线服务执行大范围SSDP扫描,找出开放UPnP路由器。
此类扫描能扫出130多万台此类设备,当然,不是全部设备都带有相应漏洞。但定位出一台可利用的脆弱设备依然相当容易,因为可以用脚本自动化该过程。
接下来,攻击者需要通过HTTP访问该设备的XML文件(rootDesc.xml),用Shodan中的真实设备IP替换掉‘Location’ IP就行。