 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
26 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Новый метод позволяет подменять адрес исходящего порта, что делает прежние способы борьбы с подобными кампаниями неэффективными.
ИБ-эксперты компании Imperva 14 мая опубликовали отчет, в котором сообщили о минимум двух DDoS-кампаниях с подменой исходных портов. Это позволяет злоумышленникам, совершающим атаки с усилением за счет SSDP, NTP, DNS, а возможно, и других протоколов, обходить средства защиты.
По мнению исследователей, маскировка адресов проводилась с использованием протокола UPnP (Universal Plug and Play). Он позволяет создать систему многоранговых соединений в локальной сети и обычно используется для управления IoT-устройствами.
Многочисленные уязвимости UPnP давно вызывают беспокойство специалистов. Его основные недостатки кроются в небезопасных настройках “по умолчанию” — отсутствии аутентификации и возможности удаленного доступа к роутеру.
Открытый интерфейс WAN позволяет удаленно изменять правила переадресации портов, созданные, чтобы перенаправлять трафик с внутреннего на внешний IP и наоборот. При этом многие маршрутизаторы даже не проверяют, является ли внутренний IP таковым на самом деле.
Эксперты обратили внимание на проблему 11 апреля, когда во время отслеживаемой SSDP-атаки заметили, что около 12% запросов исходило от необычных портов. Пытаясь разобраться в происходящем, они решили воспроизвести этот метод взлома.
Первое, что сделали исследователи — просканировали открытые для нападений маршрутизаторы. Их можно обнаружить как с помощью SSDP-запросов, так и автоматически, используя поисковик Shodan. В результате было найдено более 1,3 млн потенциально уязвимых устройств.
Для подготовки атаки специалисты отправили на выбранное устройство запрос SOAP, чтобы создать правила переадресации, направляющие пакеты, прибывающие в порт UPnP-устройства, на сторонний DNS-сервер. В результате произошла подмена адресов, и эксперты получили возможность использовать маршрутизаторы в качестве прокси, маскируя исходные порты под пользовательские.
В ходе эксперимента аналитики доказали, что новая тактика злоумышленников делает неэффективной фильтрацию запросов по исходному IP и адресу порта. Надежным методом защиты остается переход на глубокую проверку пакетов (DPI), но он требует гораздо больше ресурсов и времени.
Об использовании роутеров в качестве прокси для UPnP-атак в апреле сообщили исследователи Akamai. Уязвимость протокола позволила злоумышленникам изменить NAT-таблицы и создать ботнет из 65 000 роутеров.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
