Pesquisadores de segurança descobriram que os invasores podem abusar do protocolo WS-Discovery (Web Services Dynamic Discovery) para lançar campanhas massivas de negação de serviço distribuída ( DDoS ). Pesquisadores de segurança emitiram um aviso depois de ver cibercriminosos abusarem do protocolo WS-Discovery em diferentes campanhas DDoS nos últimos meses.
A primeira campanha DDoS usando o protocolo WS-Discovery foi descoberta em maio pelo pesquisador de segurança Tucker Preston, que observou 130 ataques DDoS que atingiam tamanhos acima de 350 Gbps. O ataque diminuiu nos meses seguintes, mas ressurgiu em campanhas em menor escala, conforme relatado pelo ZeroBS. A segunda onda de ataques atingiu um máximo de 40 Gbps, envolvendo botnets que usavam 5.000 dispositivos, a maioria dos quais eram câmeras e impressoras IP.
O site de tecnologia ZDNet conhecia os abusos do protocolo desde a descoberta inicial de maio, mas reteve a divulgação para que mais grupos de criminosos cibernéticos utilizem o protocolo para seus próprios ataques DDoS. No entanto, os últimos meses mostraram que mais grupos de cibercriminosos já podem ter descoberto por conta própria. Os pesquisadores de segurança agora estão emitindo avisos para que as partes potencialmente afetadas possam tomar medidas de precaução.
Apesar de ser um protocolo relativamente incomum, o ONVIF (um fórum global e aberto da indústria que facilita o desenvolvimento e a promoção de interfaces padronizadas para produtos de segurança baseados em IP) recomenda o protocolo WS-Discovery para detecção de dispositivos e interoperabilidade plug-and-play desde 2010
Os membros do ONVIF incluem as principais marcas de tecnologia que provavelmente seguiram esta recomendação. Isso poderia explicar como o protocolo WS-Discovery chegou a milhares de dispositivos. De acordo com o mecanismo de pesquisa na web BinaryEdge, aproximadamente 630.000 dispositivos baseados em ONVIF usam o protocolo WS-Discovery.
O amplo uso do protocolo, combinado com várias outras características técnicas, o torna uma ferramenta ideal de campanha DDoS.
O WS-Discovery é um protocolo de descoberta multicast usado para localizar serviços ou dispositivos próximos em uma rede local. Para oferecer suporte à descoberta entre dispositivos, ele usa mensagens SOAP (Simple Object Access Protocol) sobre o protocolo de transporte UDP (User Datagram Protocol).
Como um protocolo baseado em UDP, o WS-Discovery pode permitir que invasores realizem ataques de inundação UDP típicos e falsifiquem o destino do pacote. Um invasor pode, por exemplo, enviar um pacote UDP com um endereço IP de retorno falso para o WS-Discovery de um dispositivo, para que o dispositivo envie uma resposta ao endereço IP falso. Isso permite que os invasores redirecionem o tráfego para o destino de sua campanha DDoS.
Além disso, as respostas do WS-Discovery podem ser várias vezes maiores que a entrada que recebem. Um invasor pode usar essa característica para enviar um pacote inicial ao WS-Discovery de um dispositivo, cuja resposta será redirecionada para o alvo de ataque DDoS. O destino receberá um pacote várias vezes maior que o tamanho do pacote original.
Ameaças usando protocolos comuns
Esta não é a primeira vez que protocolos padrão expõem dispositivos ou sistemas a ataques. Ameaças envolvendo protocolos tornaram-se pontos críticos de defesa, uma vez que estão intimamente incorporadas em dispositivos, sistemas e aplicativos. Ao mesmo tempo, os protocolos podem levar a vulnerabilidades e ataques de dispositivos despretensiosos e críticos, o que aconteceu quando os controladores remotos de radiofrequência foram usados para mover máquinas de tamanho normal em canteiros de obras e fábricas no início deste ano.
Os protocolos de comunicação também se tornaram sistemas especialmente cruciais que usam a Internet das Coisas ( IoT ) e a Internet Industrial das Coisas ( IIoT ), onde os pontos fracos e as configurações incorretas desses protocolos podem levar a mais do que apenas registros expostos.
Felizmente, os casos mais recentes de campanhas DDoS usando o WS-Discovery indicam que os cibercriminosos por trás dele ainda estão descobrindo como usar o protocolo. Os provedores de serviços de Internet podem implementar medidas de segurança para bloquear o tráfego proveniente da Internet que visa especificamente a porta 3702 em dispositivos dentro de sua rede. Essa medida pode ajudar a evitar o abuso desses dispositivos em futuras campanhas DDoS.
Marcelo Peres
Guia do CFTV
Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?
Gostaria de sugerir alguma notícia ou entrar em contato, clique Aqui!
Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’