Protocollo WS-Discovery sfruttato per attacchi DDoS

Protocollo WS-Discovery sfruttato per attacchi DDoS

Il protocollo Web Services Dynamic Discovery (anche conosciuto come “WS-DD”, “WSD”, “WS-Discovery”) è stato recentemente sfruttato da numerosi attori per lanciare attacchi DDoS.

Wiki

Il “Web Services Dynamic Discovery” specifica un protocollo multicast il cui obiettivo è effettuare una scansione della rete al fine di localizzare servizi esposti (per esempio server FTP, server WEB, client SMB, ecc…).

Da protocollo, opera sulle porte:

UDP139
445
1124
3702
TCP139
445
3702
49179
5357
5358

Lo sfruttamento

WS-DD non è un protocollo utilizzato da tutto il mercato dell’IT, ma è stato adottato ufficialmente dal consorzio industriale ONVIF, organo distributore di interfacce di rete, il quale è composto da diverse società, tra cui Axis, Sony e Bosch.

Circa 360.000 dispositivi in commercio sono attrezzati con il protocollo WS-Discovery, tra cui videocamere IP, stampanti e dispositivi per la domotica.

Come riportato precedentemente, WS-DD opera anche con protocollo di rete UDP, il quale è stato già soggetto a vulnerabilità che consentono lo spoofing della destinazione, aprendo così la strada a connessioni verso internet, invece che limitarsi alla propria rete locale.

Il fattore chiave che ha reso questa vulnerabilità capace di perpetrare attacchi DDoS è il fatto che il protocollo WS-DD restituisce un risultato sempre più grande della richiesta iniziale (tecnica chiamata in gergo “amplificazione”). Gli attacchi DDoS che sono stati effettuati grazie/a causa di questa vulnerabilità risultano attualmente più di 130.

Sono stati registrati picchi di 300GBps ai client vittima.


Letture interessanti:

Mostra i Commenti