ブラックハットの永遠の祭典であるユニバーサル プラグ アンド プレイは、サービス拒否攻撃を増幅させる原因になっていることが判明しました。
Imperva の研究者は、2018 年 4 月にシンプル サービス検出プロトコル (SSDP、UPnP に吸収されたインターネット提案) 増幅攻撃を分析しているときに奇妙な攻撃トラフィックを発見した後、不正な動作をする UPnP 実装を調査しました。
2017年、UPnPはブラックハットによる銀行マルウェアの実行に役立っている
続きを読む
同社のアヴィシャイ・ザウォズニク氏、ジョナサン・アザリア氏、イガル・ゼイフマン氏は、攻撃パケットの一部はよく知られたUDPポートから送信されたものの、その他はランダムなものだったと書いている。
3 人の研究者は、動作を再現する中で、攻撃者がルーターなどのセキュリティが不十分なデバイス (電源をオフにしてください) で UPnP を使用していたと結論付け、攻撃の再現を試みました。
Shodanの助けがあれば、特に難しいことではありません。必要な手順は以下のとおりです。
- Shodan でファイルを検索してターゲットを発見します
rootDesc.xml(Imperva は 130 万台のデバイスを発見しました)。 - アクセスするにはHTTPを使用します
rootDesc.xml。 - 被害者のポート転送ルールを変更する (研究者らは、ポート転送は内部アドレスと外部アドレスの間で行われるべきなので、これは機能しないはずだと指摘しているが、「提供された「内部 IP」が実際に内部のものであるかどうかを確認するルーターはほとんどなく、結果としてすべての転送ルールに従っている」)。
- 攻撃を開始します。
つまり、攻撃者は被害者の IP アドレスを偽装するポート転送ルールを作成できるということです。つまり、セキュリティが不十分なルーターに DNS リクエストを送信し、それを被害者に返そうとする、典型的なリダイレクト DDoS 攻撃を実行できるということです。
このポート転送により、攻撃者は「回避ポート」を使用して、「ブラックリストのソースポートデータを探すことで、増幅ペイロードを識別する一般的なスクラビング指令を回避できるようになる」と投稿では説明されている。
研究者らは、このスタイルの攻撃は DNS クエリのリフレクションに限定されないと指摘しており、2018 年 4 月下旬には、不規則なポートを介したネットワーク タイム プロトコル応答を使用した低ボリュームの攻撃 (おそらくプローブ攻撃) が観測された。
教訓はシンプルです。システム管理者と家庭ユーザーは、インターネットへのアクセスから UPnP をブロックする必要があります。また、消費者向けデバイスを製造しているベンダーは、そのブロックをデフォルト設定にする必要があります。®
