Um novo tipo de ataque SSDP

A equipe ASERT (Arbor’s Security Engineering & Response Team) da NETSCOUT descobriu um novo tipo de ataque SSDP (Simple Service Discovery Protocol), em que dispositivos respondem, não intencionalmente, a ataques de reflexão / amplificação SSDP por meio de portas não-padrão. A consequente inundação de pacotes UDP (User Datagram Protocol) utiliza portas efêmeras de origem e destino, configurando um ataque de difração SSDP e tornando mais difícil a mitigação.

Esse comportamento parece resultar da ampla reutilização da biblioteca de código aberto libupnp em dispositivos CPE (Costumer Premise Equipment). Evidências de eventos DDoS anteriores sugerem que os invasores estão cientes desse comportamento e podem escolher um conjunto de equipamentos com base na eficácia de seu ataque. O uso de soluções Arbor para mitigar esses ataques requer a inspeção do conteúdo dos pacotes, de modo a filtrar a inundação de respostas do SSDP e fragmentos não iniciais.

Principais conclusões:

  • O SSDP vem sendo utilizado para ataques de reflexão / amplificação há muitos anos. Em 2015, a Arbor identificou ataques utilizando tráfego SSDP originado de portas efêmeras.
  • Mitigações simples baseadas em porta podem não ser eficazes contra os ataques de difração SSDP que se utilizam de portas efêmeras.
  • Surpreendentemente, a maioria dos cerca de 5 milhões de servidores SSDP acessíveis via Internet pública possui uma porta de origem efêmera.
  • Esse comportamento deriva do uso da biblioteca de código aberto libupnp, que parece ser empregada em vários dispositivos CPE.
  • A defesa contra os ataques de difração de SSDP requer a inspeção do conteúdo dos pacotes.

Clique aqui para baixar o relatório completo