Bằng cách sử dụng sai các công cụ được thực hiện không chính xác trong hầu hết 1 Hàng triệu máy ảnh mạng, DVR và các thiết bị IoT khác, tin tặc đã phát hiện ra các kỹ thuật mới để tăng cường hiệu quả của các cuộc tấn công từ chối dịch vụ.
Kỹ thuật mới sử dụng sai giao thức WS-Discovery (WSD) được sử dụng bởi các thiết bị mạng khác nhau để tự động kết nối với nhau. Giao thức WSD cho phép các thiết bị gửi các gói Giao thức gói dữ liệu người dùng (UDP) qua cổng 3702 để mô tả các khả năng và yêu cầu của thiết bị.
Tuy nhiên, các thiết bị nhận được nghiên cứu này có thể phản hồi với các phản hồi có thể lớn hơn hàng chục hoặc thậm chí hàng trăm lần và điều này cho phép tin tặc tăng cường sức mạnh của các cuộc tấn công DDoS của chúng.
Tùy thuộc vào thiết bị, phản hồi này có thể lớn hơn từ bảy đến 153 lần và sự khuếch đại này làm cho WSD trở thành một trong những kỹ thuật mạnh nhất trong kho của hacker để tăng cường các cuộc tấn công DDoS có thể làm tê liệt các doanh nghiệp và người tiêu dùng.
Các cuộc tấn công DDoS được tăng cường
Các nhà điều tra của Akamai gần đây đang trong quá trình điều tra các cuộc tấn công dựa trên WSD khi một trong những khách hàng trong ngành công nghiệp trò chơi của họ là nạn nhân của một cuộc tấn công như vậy. Vào lúc cao điểm, các cuộc tấn công DDoS sử dụng khuếch đại WSD đã sinh ra 35 GB mỗi giây lưu lượng rác.
Cuộc tấn công này không ở đâu gần cuộc tấn công DDoS 990 Gbps do máy quay an ninh gây ra vào năm 2016, nhưng kỹ thuật mới được tin tặc sử dụng vẫn còn gây lo ngại vì bộ thiết bị khả dụng do Akamai ước tính là hơn 802k.
Trong một bài đăng trên blog chi tiết về những phát hiện của Akamai, Jonathan respect đã giải thích lý do tại sao WSD có nguy cơ lớn như vậy và làm thế nào các công ty nên chuẩn bị cho một làn sóng tấn công DDoS mới ngay lập tức, nói:
WSD là một rủi ro đáng kể trên Internet có thể tạo ra băng thông nghiêm trọng bằng cách sử dụng camera quan sát và DVR. Một lần nữa, chúng tôi thấy rằng bảo mật là nền tảng cho thuận tiện. Các nhà sản xuất chỉ có thể giới hạn phạm vi của giao thức UDP trên cổng 3702 đối với không gian phát đa hướng IP. Tất cả những gì chúng ta có thể làm bây giờ là chờ đợi một thiết bị có tuổi thọ 10/15 năm và tôi hy vọng chúng sẽ được thay thế bằng các phiên bản an toàn hơn. Tất cả đều là mục tiêu tiềm năng cho các cuộc tấn công WSD, vì vậy các tổ chức phải sẵn sàng hướng lưu lượng truy cập đến nhà cung cấp giảm thiểu DDoS của họ nếu họ bị ảnh hưởng bởi cuộc tấn công lớn này. Do hệ số khuếch đại lớn, chúng tôi hy vọng kẻ tấn công sẽ lãng phí một chút thời gian sử dụng WSD để sử dụng làm vector phản chiếu. "
Thông qua Ars Technica
