Protocollo WS-Discovery sfruttato per attacchi DDoS

Protocollo WS-Discovery sfruttato per attacchi DDoS

Il protocollo Web Services Dynamic Discovery (anche conosciuto come “WS-DD”, “WSD”, “WS-Discovery”) è stato recentemente sfruttato da numerosi attori per lanciare attacchi DDoS.

Wiki

Il “Web Services Dynamic Discovery” specifica un protocollo multicast il cui obiettivo è effettuare una scansione della rete al fine di localizzare servizi esposti (per esempio server FTP, server WEB, client SMB, ecc…).

Da protocollo, opera sulle porte:

UDP139
445
1124
3702
TCP139
445
3702
49179
5357
5358

Lo sfruttamento

WS-DD non è un protocollo utilizzato da tutto il mercato dell’IT, ma è stato adottato ufficialmente dal consorzio industriale ONVIF, organo distributore di interfacce di rete, il quale è composto da diverse società, tra cui Axis, Sony e Bosch.

Circa 360.000 dispositivi in commercio sono attrezzati con il protocollo WS-Discovery, tra cui videocamere IP, stampanti e dispositivi per la domotica.

Come riportato precedentemente, WS-DD opera anche con protocollo di rete UDP, il quale è stato già soggetto a vulnerabilità che consentono lo spoofing della destinazione, aprendo così la strada a connessioni verso internet, invece che limitarsi alla propria rete locale.

Il fattore chiave che ha reso questa vulnerabilità capace di perpetrare attacchi DDoS è il fatto che il protocollo WS-DD restituisce un risultato sempre più grande della richiesta iniziale (tecnica chiamata in gergo “amplificazione”). Gli attacchi DDoS che sono stati effettuati grazie/a causa di questa vulnerabilità risultano attualmente più di 130.

Sono stati registrati picchi di 300GBps agli host vittime dell'attacco.

Ogni volta che supporti il blog

Tyrion educa suo nipote Joffrey

Supporta anche tu la cultura della punizione corporale contro i nipoti