Kilka dni temu FBI wydało ostrzeżenie o wykryciu nowych protokołów sieciowych, które zostały wykorzystane w ostatnim czasie do przeprowadzenie rozproszonych ataków sieciowych typu „odmowa usługi”, czyli popularnych DDoS-ów. Alert FBI wymienia trzy protokoły sieciowe i jedną aplikację internetową jako nowo odkryte wektory ataku DDoS. Lista ta obejmuje:
- CoAP (Constrained Application Protocol)
- WS-DD (Web Services Dynamic Discovery)
- ARMS (Apple Remote Management Service)
- Jenkins – internetowe oprogramowanie do automatyzacji
Postanowiliśmy opisać te tajemnicze protokoły bardziej szczegółowo oraz podsumować raport służb specjalnych odnośnie nowych cyber-zagrożeń.
CoAP
Już w grudniu 2018 r. cyberprzestępcy zaczęli nadużywać funkcji multicast oraz transmisji poleceń w protokole CoAP do przeprowadzania ataków z odbiciem (ang. reflection) i wzmocnieniem (ang. amplification) DDoS. Skutkowało to wzmocnieniem natężenia zapytań nawet 34-krotnie. Według stanu na styczeń 2019 r. zdecydowana większość urządzeń CoAP z dostępem do Internetu znajdowała się w Chinach i korzystała z mobilnych sieci peer-to-peer.
CoAP został zaprojektowany jako lekki protokół machine-to-machine (M2M), który może działać na urządzeniach inteligentnych, w których brakuje pamięci i zasobów obliczeniowych.
W uproszczonym wyjaśnieniu CoAP jest bardzo podobny do HTTP, ale zamiast pracować za pomocą pakietów TCP, działa na bazie UDP, lżejszego formatu przesyłania danych utworzonego jako alternatywa dla TCP.
Podobnie jak protokół HTTP służy do przesyłania danych i poleceń (GET, POST, CONNECT itp.) między klientem a serwerem. Protokół CoAP umożliwia również korzystanie z tych samych funkcji multicast oraz transmisji poleceń, ale potrzebuje do tego dużo mniej zasobów, co czyni go idealnym dla dzisiejszej, rosnącej fali urządzeń IoT.
Niestety, tak jak każdy inny protokół oparty na UDP, protokół CoAP jest z natury podatny na fałszowanie adresów IP i wzmacnianie pakietów, czyli dwa główne czynniki, które umożliwiają wzmocnienie ataku DDoS.
Atakujący może wysłać mały pakiet UDP do klienta CoAP (urządzenia IoT), a klient może odpowiadać znacznie większym pakietem. W świecie ataków DDoS rozmiar tej odpowiedzi pakietu jest znany jako współczynnik wzmocnienia, a dla CoAP może wynosić od 10 do 50, w zależności od początkowego pakietu i wynikającej z niego odpowiedzi.
Projektanci protokołu CoAP, z czasem dodali różne funkcje bezpieczeństwa, aby zapobiec tego typu problemom, ale podobno, jeśli producenci urządzeń wdrożą te funkcje bezpieczeństwa, protokół CoAP nie jest już tak lekki, negując wszystkie swoje korzyści. Konsekwencją tego jest fakt, że większość dzisiejszych implementacji CoAP rezygnuje z używania wzmocnionych trybów bezpieczeństwa dla trybu bezpieczeństwa „NoSec”, który utrzymuje protokół jako idealny dla IoT, ale też niestety podany na ataki DDoS.
WS-DD
W maju i sierpniu 2019 r. cyberprzestępcy wykorzystali protokół Web Services Dynamic Discovery (WS-DD), aby przeprowadzić ponad 130 ataków DDoS, z których niektóre osiągały ponad 350 gigabitów na sekundę, w dwóch oddzielnych falach ataku (według raportu opensource.com). Później tego samego roku kilku badaczy ds. bezpieczeństwa zgłosiło wzrost wykorzystania przez cyberprzestępców niestandardowych protokołów i źle skonfigurowanych urządzeń IoT do wzmacniania ataków DDoS.
WS-Discovery to protokół multicast, którego można używać w sieciach lokalnych do „wykrywania” innych pobliskich urządzeń, które komunikują się za pośrednictwem określonego protokołu lub interfejsu. Przede wszystkim protokół używany jest do obsługi komunikacji między urządzeniami za pośrednictwem formatu komunikatów SOAP, przy użyciu pakietów UDP – stąd czasami jest nazywany SOAP-over-UDP.
WS-Discovery nie jest powszechnym ani dobrze znanym protokołem, ale został przyjęty przez ONVIF, grupę branżową, która promuje ustandaryzowane interfejsy w celu zapewnienia współdziałania produktów sieciowych.
W ramach ciągłych wysiłków standaryzacyjnych tego protokołu, jest on zaimplementowany w szeregu urządzeń od kamer IP po drukarki i od urządzeń domowych po rejestratory DVR. Obecnie, według wyszukiwarki internetowej BinaryEdge, istnieje obecnie prawie 630 000 urządzeń opartych na ONVIF, które obsługują protokół WS-Discovery i są gotowe do jego nadużyć.
Urządzenia IoT są atrakcyjnym celem, ponieważ używają protokołu WS-DD do automatycznego wykrywania nowych urządzeń podłączonych do Internetu znajdujących się w pobliżu. Ponadto WS-DD działa przy użyciu protokołu UDP, co umożliwia aktorom fałszowanie adresu IP ofiary i powoduje zalanie ofiary danymi z pobliskich urządzeń IoT. W przypadku WS-Discovery protokół zaobserwowano w rzeczywistych atakach DDoS ze współczynnikami wzmocnienia do 300, a nawet 500. Jest to gigantyczny współczynnik wzmocnienia, biorąc pod uwagę, że większość innych protokołów UDP ma podobne współczynniki średnio do 10.
ARMS
W październiku 2019 roku cyberprzestępcy wykorzystali usługę Apple Remote Management Service (ARMS), część funkcjonalności Apple Remote Desktop (ARD), do przeprowadzenia ataków wzmacniających DDoS. Po włączeniu ARD usługa ARMS zaczęła nasłuchiwać na porcie 3283 w poszukiwaniu poleceń przychodzących do zdalnych urządzeń Apple, których atakujący używali do przeprowadzania ataków ze wzmocnieniem DDoS o współczynniku wzmocnienia 35,5. ARD służy przede wszystkim do zarządzania dużymi flotami komputerów Apple Mac przez korporacje i większe organizacje.
Jenkins
W lutym 2020 r. Brytyjscy badacze bezpieczeństwa zidentyfikowali lukę we wbudowanych protokołach wykrywania sieci wolnych od serwerów Jenkins, serwerów automatyzacji typu open source, używanych do wspierania procesu tworzenia oprogramowania, który cyberprzestępcy mogą wykorzystać do przeprowadzania ataków wzmacniających DDoS. Badacze oszacowali, że cyberprzestępcy mogą wykorzystać wrażliwe serwery Jenkins do 100-krotnego wzmocnienia ruchu związanego z atakami DDoS przeciwko infrastrukturze online atakowanych ofiar w różnych sektorach.
Te poważne ataki DDoS są możliwe ze względu na lukę w bazie kodu Jenkins. Błąd oznaczony jako CVE-2020-2100 został już naprawiony w wersji Jenkins v2.219 wydanej w styczniu 2020 r.
Zgodnie z poradnikiem bezpieczeństwa Jenkins, jego instalacje obsługują dwa protokoły wykrywania sieci, a mianowicie protokół multicast UDP i drugi protokół multicast DNS. Oba protokoły są domyślnie włączone. Są używane, aby serwery Jenkins mogły się wzajemnie wykrywać i pracować w klastrach. Protokół UDP jest powszechnie znany z tego, że umożliwia atakującym wzmocnienie części ruchu związanego z atakami DDoS, a następnie odesłanie go do zamierzonego celu ataku.
W zeszłym roku Adam Thorn z Uniwersytetu w Cambridge odkrył, że osoba atakująca może zrobić to samo z protokołem wykrywania UDP Jenkins (aktywnym na porcie UDP 33848) i wykorzystać go do wzmocnienia i odbijania ruchu w ramach ataków DDoS. Pojedyncze żądanie do tej usługi odpowiadałoby ponad 100 bajtami metadanych Jenkinsa, które można by wykorzystać w ataku DDoS na urządzenie główne Jenkins.
Podsumowanie
Urzędnicy FBI uważają, że nowe zagrożenia DDoS będą nadal wykorzystywane do powodowania przestojów i szkód w dającej się przewidzieć przyszłości Internetu.
Celem ostrzeżenia jest postawienie w gotowości amerykańskich firm, aby mogły zainwestować w systemy łagodzenia skutków DDoS i nawiązać współpracę z dostawcami usług internetowych, aby szybko reagować na wszelkie ataki wykorzystujące te nowe wektory.
FBI twierdzi, że ponieważ nowo odkryte wektory DDoS są protokołami sieciowymi, które są niezbędne dla urządzeń, w których są używane (urządzenia IoT, smartfony, komputery Mac), jest mało prawdopodobne, aby producenci urządzeń usunęli lub wyłączyli protokoły w swoich produktach. Dlatego właśnie zagrożenie nowej fali ataków DDoS jest wysoce prawdopodobne.
„W najbliższym czasie cyberprzestępcy wykorzystają rosnącą liczbę urządzeń z wbudowanymi protokołami sieciowymi włączonymi domyślnie do tworzenia botnetów na dużą skalę zdolnych do ułatwienia niszczycielskich ataków DDoS” – skomentowało FBI odnosząc się do nowych wektorów DDoS.
Do tej pory, te cztery nowe wektory ataków były używane sporadycznie, ale eksperci branżowi spodziewają się, że zostaną one wykorzystane przez usługi wykupowania botnetów w celu zaatakowania DDoS-em. Prawda czy nie, niebezpieczeństwa jakie niosą ze sobą możliwości tych protokołów nie można wykluczyć .