ddos攻击造成的损失(IoT装置UPnP协定可让黑客发动新型态DDoS攻击)

安全服务公司Imperva指出,物联网装置UPnP协定的特定问题可能让黑客用它来发动新型态分布式阻断服务攻击(DDoS),绕过一般侦查及缓解机制。安全公司相信此类攻击已经在发生中。

这项新型态攻击利用的是已广为人知,但仍然未解决的UPnP(Universal Plug and Play)协定漏洞攻击。UPnP是执行于UDP port 1900端口及TCP端口,用于区域网络上邻近物联网装置寻找与控制的网络协定。研究人员指出,UPnP的缺点在于它缺少流量验证机制,使得拙劣的预设可能导致连网装置遭远端攻击者存取,此外UPnP也存在远端代码攻击漏洞。

研究人员并指出,像路由器之类的连网装置设定理应区分来自内、外部IP流量,但实际上很少路由器验证两者流量,而遵守连接端口转送(port forwarding)的规则。一旦攻击者开采路由器漏洞而修改传输端口对照表(port mapping table),就能让该装置成为一台代理服务器,达到流量转送,同时隐藏原始来源IP的目的。这个手法即为近年流行的UPnProxy攻击。

ddos攻击造成的损失(IoT装置UPnP协定可让黑客发动新型态DDoS攻击)(1)

UPnProxy漏洞攻击原本主要用作低调的进阶持续性渗透(APT)攻击,但Imperva相信它也可用来发动大规模分布式阻断服务(DDoS)攻击。该公司在4月间发现针对SSDP(Simple Service Discovery Protocol)僵尸网络攻击,之后成功复制出一起结合UPnProxy漏洞的DNS放大式攻击(amplification attack)并证明研究团队的假设。

传统上针对DNS的DDoS放大式攻击(或称反射式DDoS攻击)中,攻击者对目标DNS服务器发出请求封包后,经由DNS处理后再传送给目标装置,要求装置回送属性,后者再经由DNS回传给攻击者。其中攻击流量的来源传输端口和接受目标装置回送流量的传输端口是相同的。但在Imperva的概念验证(PoC)攻击中,DDoS结合UPnProxy攻击手法,DDoS流量的来源传输端口已经被改为随机的传输端口,因让使研究人员无从追踪来源进而缓解攻击。

Imperva研究人员指出,只要利用Shodan搜索服务即可找到上百万包含传输端口比对表的rootDesc.xml档案,并用来发动DDoS攻击。他们也侦测到据信已利用UPnP来隐藏攻击来源、躲避侦测的攻击行为。

研究人员并未释出PoC攻击程序,表示只希望借此研究突显安全业界对UPnP的安全威胁,进而促使物联网装置厂商及销售业者强化产品安全。

家用路由器等已成为下一个安全隐忧。上个月卡巴斯基也公布报告警告,以路由器为对象的APT攻击愈来愈多,已成为仅次CPU漏洞的高风险领域。

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页