Il protocollo Web Services Dynamic Discovery (anche conosciuto come “WS-DD”, “WSD”, “WS-Discovery”) è stato recentemente sfruttato da numerosi attori per lanciare attacchi DDoS.
Wiki
Il “Web Services Dynamic Discovery” specifica un protocollo multicast il cui obiettivo è effettuare una scansione della rete al fine di localizzare servizi esposti (per esempio server FTP, server WEB, client SMB, ecc…).
Da protocollo, opera sulle porte:
UDP | 139 445 1124 3702 |
TCP | 139 445 3702 49179 5357 5358 |
Lo sfruttamento
WS-DD non è un protocollo utilizzato da tutto il mercato dell’IT, ma è stato adottato ufficialmente dal consorzio industriale ONVIF, organo distributore di interfacce di rete, il quale è composto da diverse società, tra cui Axis, Sony e Bosch.
Circa 360.000 dispositivi in commercio sono attrezzati con il protocollo WS-Discovery, tra cui videocamere IP, stampanti e dispositivi per la domotica.
Come riportato precedentemente, WS-DD opera anche con protocollo di rete UDP, il quale è stato già soggetto a vulnerabilità che consentono lo spoofing della destinazione, aprendo così la strada a connessioni verso internet, invece che limitarsi alla propria rete locale.
Il fattore chiave che ha reso questa vulnerabilità capace di perpetrare attacchi DDoS è il fatto che il protocollo WS-DD restituisce un risultato sempre più grande della richiesta iniziale (tecnica chiamata in gergo “amplificazione”). Gli attacchi DDoS che sono stati effettuati grazie/a causa di questa vulnerabilità risultano attualmente più di 130.
Sono stati registrati picchi di 300GBps agli host vittime dell'attacco.