Giao thức được 630.000 thiết bị sử dụng có thể bị lạm dụng cho tấn công DDoS quy mô lớn

LP| 06/09/2019 15:17
Theo dõi ICTVietnam trên

Các nhà nghiên cứu bảo mật cảnh báo rằng giao thức WS-Discovery hiện đang bị lạm dụng cho các cuộc tấn công từ chối dịch vụ (DDoS) quy mô lớn.

Các nhà nghiên cứu bảo mật đang gióng lên hồi chuông cảnh báo về giao thức Web Services Dynamic Discovery (WS-DD, WSD hoặc WS-Discovery) có thể bị lạm dụng để khởi động các cuộc tấn công từ chối dịch vụ (DDoS) quy mô lớn.

Trang công nghệ ZDNet lần đầu tiên cho biết giao thức này đã được sử dụng để khởi động các cuộc tấn công DDoS hồi tháng 5, nhưng đã quyết định không công bố bất cứ điều gì về nó, để tránh gây sự chú ý không cần thiết cho một giao thức đã bị lạm dụng nhưng vẫn trong tầm kiểm soát.

Tuy nhiên, trong tháng gần đây, nhiều nhóm tấn công mạng đã bắt đầu lạm dụng giao thức này và các cuộc tấn công DDoS dựa trên WS-Discovery đã xuất hiện hàng tuần.

WS-Discovery là gì?

WS-Discovery là một giao thức phát đa hướng để định vị các dịch vụ trên mạng nội bộ. Nó hoạt động trên cổng TCP và UDP 3702 và sử dụng địa chỉ multicast IP 239.255.255.250. Giao thức này được sử dụng để hỗ trợ phát hiện và liên lạc giữa các thiết bị thông qua định dạng nhắn tin SOAP (Simple Object Access Protocol), sử dụng các gói UDP (User Data Protocol), do đó đôi khi nó được gọi là SOAP-over-UDP.

WS-Discovery không phải là một giao thức phổ biến hoặc được biết đến nhiều, nhưng giao thức được ONVIF, do một nhóm các công ty thúc đẩy các giao thức, tiêu chuẩn hóa để có khả năng tương tác giữa các sản phẩm được nối mạng.

Các thành viên ONVIF bao gồm Axis, Sony, Bosch và những hãng công nghệ khác. Những công ty này sử dụng các tiêu chuẩn ONVIF làm cơ sở cho các sản phẩm của họ. Từ giữa những năm 2010, tiêu chuẩn của nhóm này đã khuyến nghị giao thức WS-Discovery cho việc khám phá thiết bị như là một phần của khả năng tương tác giữa các sản phẩm cắm và chạy (plug-and-play).

Là một phần của nỗ lực tiêu chuẩn hóa bền vững này, giao thức này đã khả thi cho một loạt các sản phẩm bao gồm mọi thứ từ các camera IP đến các máy in và từ thiết bị gia dụng đến DVR (Digital Video Recorder). Hiện tại, theo công cụ tìm kiếm Internet BinaryEdge, hiện có gần 630.000 thiết bị dựa trên ONVIF hỗ trợ giao thức WS-Discovery và sẵn sàng bị lạm dụng.

Ảnh: ZDNet

Các cuộc tấn công WS-Dicovery có nguy cơ vô cùng lớn

Có nhiều lý do lý giải tại sao giao thức WS-Discovery rất lý tưởng cho các cuộc tấn công DDoS.

Trước hết, WS-Discovery là một giao thức dựa trên UDP, có nghĩa là đích đến gói có thể bị giả mạo. Kẻ tấn công có thể gửi một gói UDP đến dịch vụ WS-Discovery của thiết bị với một địa chỉ IP trả về giả mạo. Khi thiết bị gửi trả lại một phản hồi, nó sẽ gửi nó đến địa chỉ IP giả mạo, cho phép kẻ tấn công hồi lại lưu lượng truy cập trên những thiết bị WS-Discovery và nhắm vào mục tiêu mong muốn của các cuộc tấn công DDoS này.

Thứ hai, phản hồi WS-Discovery lớn hơn nhiều lần so với đầu vào ban đầu. Điều này cho phép kẻ tấn công gửi một gói ban đầu đến thiết bị WS-Discover, theo đó, thiết bị này trả lại gói cho nạn nhân bị tấn công DDoS với kích thước gói lớn hơn rất nhiều so với gói ban đầu.

Đây là cái mà các nhà nghiên cứu bảo mật gọi là hệ số khuếch đại DDoS và điều này cho phép kẻ tấn công có quyền truy cập vào những tài nguyên hạn chế để khởi động các cuộc tấn công DDoS quy mô lớn bằng cách khuếch đại lưu lượng rác trên các thiết bị dễ bị tấn công/xâm phạm.

Trong trường hợp của WS-Discovery, giao thức này đã được quan sát thấy trong các cuộc tấn công DDoS trong thế giới thực với các hệ số khuếch đại lên tới 300 và thậm chí 500. Đây là một hệ số khuếch đại khổng lồ, trong khi hầu hết các giao thức UDP khác đều có các hệ số tương tự trung bình lên đến 10.

Tuy nhiên, tin tốt là có rất ít các cuộc tấn công DDoS của WS-Discovery với các hệ số khuếch đại 300 hoặc 500.

Theo ZeroBS GmbH, một công ty an ninh mạng đang theo dõi làn sóng các cuộc tấn công DDoS do WS-Discovery gần đây đã diễn ra trong tháng này, hệ số khuếch đại phổ biến  thường là lên tới 10.

Tuy nhiên, hồ sơ bằng chứng (proof of concept) công bố các cuộc tấn công DDoS WS-Discovery được xuất bản trên GitHub vào cuối năm 2018 cho thấy khả năng có thể đạt được hệ số khuếch đại từ 70 đến 150, do đó vẫn là một mối nguy hiểm mà một tác nhân đe dọa tinh vi cuối cùng sẽ vũ khí hóa giao thức này với khả năng đầy đủ của nó.

Các cuộc tấn công DDoS do WS-Discovery trước đây

Các cuộc tấn công đầu tiên lạm dụng giao thức WS-Discovery trên quy mô lớn đã được nhà nghiên cứu bảo mật Tucker Preston, người đã quan sát 130 cuộc tấn công DDoS quy mô lớn, báo cáo đầu tiên vào đầu tháng 5/2019.

Nhà nghiên cứu cho ZDNet biết: Những cuộc tấn công này sau đó đã được Netscout xác nhận trong một báo cáo được công bố vào tháng 7.

Các cuộc tấn công DDoS WS-Discovery, tháng 5/2019 (Ảnh: Tucker Preston)

Các cuộc tấn công đã lắng xuống trong những tháng tiếp theo, nhưng lại tăng đỉnh điểm vào tháng 8, ZeroBS cho hay.

Không giống như làn sóng các đợt tấn công WS-Discovery đầu tiên, các cuộc tấn công hiện tại nhỏ hơn nhiều và rất có thể được thực hiện bởi các tác nhân đe dọa, những tác nhân nhận thức đầy đủ về khả năng của giao thức này, hoặc các tác nhân đe doạ không có phương tiện kỹ thuật để khai thác hết tiềm năng của nó .

ZeroBS cho biết các cuộc tấn công mới sau này chỉ đạt tối đa 40 Gbps, hệ số khuếch đại không quá 10 và chỉ 5.000 thiết bị (chủ yếu là các camera IP và máy in) đã được đưa vào các mạng máy tính ma (botnet) phát động các cuộc tấn công này.

Ảnh: ZeroBS GmbH

Hiện tại, các cuộc tấn công DDoS WS-Discovery chưa đạt đến giai đoạn xảy ra hàng ngày và chúng chưa được lạm dụng khai thác hết tiềm năng. Nhiều cuộc tấn công vẫn chỉ sử dụng một phần nhỏ trong tổng số các thiết bị WS-Discovery có sẵn trực tuyến và chỉ đạt được hệ số khuếch đại nhỏ.

Tuy nhiên, số lượng lớn thiết bị hiện đang làm lộ cổng WS-Discovery 3702 trên Internet sẽ khiến giao thức này trở thành giao thức được những kẻ khai thác mạng máy tính ma (botnet) quan tâm nhất trong những tháng tới đây.

Các nhà cung cấp dịch vụ Internet (ISP) vẫn có thời gian để triển khai các biện pháp bảo vệ tại các ranh giới mạng của họ để chặn lưu lượng truy cập từ Internet nhắm vào cổng 3702 trên các thiết bị trong mạng của họ.

Các giải pháp đơn giản như thế này sẽ giúp ngăn botnet lạm dụng các thiết bị này cho các cuộc tấn công trong tương lai, nhưng việc triển khai các biện pháp như vậy thường mất vài tháng và một số nhà cung cấp dịch vụ Internet còn do dự, chưa hành động ngay đã tạo điều kiện cho các cuộc tấn công DDoS trong tương lai.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Trên 1 triệu người đăng ký tài khoản “Công dân Thủ đô số”
    Theo thông tin từ Sở Thông tin và Truyền thông Hà Nội, tính đến hết tháng 10/2024, ứng dụng “Công dân Thủ đô số” – iHanoi đã đã có khoảng 14 triệu lượt người dân truy cập khai thác, sử dụng. Tổng số người dùng đăng ký tài khoản trên ứng dụng này lên tới 1.043.724.
  • Sắp diễn ra Lễ hội văn hoá ẩm thực Hà Nội năm 2024
    UBND TP. Hà Nội vừa ban hành Kế hoạch số 313/KH-UBND về việc tổ chức Lễ hội văn hóa ẩm thực Hà Nội năm 2024 (The HaNoi Culinary Culture Festival 2024) với chủ đề "Hà Nội kết nối năm châu".
  • GHTK được vinh danh Thương hiệu Quốc gia Việt Nam lần thứ hai
    Công ty CP Giao hàng Tiết Kiệm tự hào là một trong 190 doanh nghiệp tiêu biểu, đạt danh hiệu Thương hiệu Quốc gia Việt Nam năm 2024 trong số hơn 1.000 doanh nghiệp đăng ký.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • MobiFone được vinh danh Thương hiệu quốc gia Việt Nam 2024
    Tại Lễ công bố sản phẩm đạt Thương hiệu quốc gia Việt Nam năm 2024 tối 4/11, MobiFone xuất sắc được vinh danh tại sự kiện với 5 thương hiệu sản phẩm đột phá bao gồm: Dịch vụ viễn thông MobiFone, mobiEdu, ClipTV, mobiAgri và nền tảng số MobiFone.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
Giao thức được 630.000 thiết bị sử dụng có thể bị lạm dụng cho tấn công DDoS quy mô lớn
POWERED BY ONECMS - A PRODUCT OF NEKO