Trong một báo cáo được công bố hôm thứ 2, công ty Imperva cho biết họ đã phát hiện ít nhất có 2 cuộc tấn công DDoS sử dụng kỹ thuật này.
Bằng cách giấu các cổng gốc của các gói mạng đến, Imperva cho biết các hệ thống áp dụng giải pháp cũ để giảm thiểu DDoS dựa vào việc đọc thông tin này để chặn các cuộc tấn công sẽ phải được cập nhật các giải pháp phức tạp hơn dựa trên DPI (Deep Packet Inspection), tốn kém hơn và chậm hơn.
Cảnh báo hacker sử dụng giao thức UPnP để tránh giải pháp giảm thiểu cuộc tấn công DDoS
Cách thức UpnP hỗ trợ kẻ tấn công
Vấn đề cốt lõi là giao thức Universal Plug and Play (UPnP), sử dụng công nghệ được phát triển để đơn giản hóa việc khám phá các thiết bị lân cận trên mạng cục bộ.
Một trong những khả năng của giao thức này khả năng chuyển tiếp kết nối từ Internet tới mạng cục bộ, UpnP thực hiện điều này bằng cách map các kết nối (Internet) IP port: đến tới một dịch vụ IP:port cục bộ.
Tính năng này cho phép vượt tường NAT (NAT traversal), nhưng cũng cho phép Admin kiểm soát người dùng truy cập các dịch vụ chỉ có sẵn trên mạng nội bộ từ xa.
Các nhà nghiên cứu của Imperva cho biết: "Tuy nhiên có một vài router sẽ quan tâm đến việc xác minh địa chỉ IP nội bộ được cung cấp là địa chỉ IP nội bộ thực và tuân thủ tất cả các quy tắc chuyển tiếp".
Tức là nếu kẻ tấn công quản lý để tiêm nhiễm port mapping table, họ có thể sử dụng router làm proxy và chuyển hướng các địa chỉ IP Internet đến vào các địa chỉ IP Internet khác.
Loại kịch bản này không còn mới mẻ gì. Akamai đã từng mô tả chi tiết kỹ thuật này, được gọi là UpnProxy hồi tháng trước khi họ phát hiện botnet và các nhóm gián điệp mạng quốc gia sử dụng các router trong hộ gia đình làm proxy để trả lại và ẩn lưu lượng truy cập độc hại.
Khái niệm UpnP thường được dùng để hỗ trợ chơi game hiện nay, đặc biệt là tựa game Đế Chế, AOE 1, UnPlug n' Pray, tiến hành tắt upnp, giúp người chơi sửa lỗi không show thấy mạng game đế chế AOE, bạn tham khảo cách tắt UPNP tại đây.
Kỹ thuật UPnProxy được sử dụng cho các cuộc tấn công DDoS
Các nhà nghiên cứu của Imperva cũng nhấn mạnh kỹ thuật này cũng có thể bị lạm dụng cho các cuộc tấn công DDoS nhằm mục đích để giấu cổng nguồn cho các cuộc tấn công DDoS amplification, hay còn được gọi là cuộc tấn công DDoS reflection.
Các cuộc tấn công DDoS amplification cũ dựa trên cách thức kẻ tấn công phát tán gói độc hại từ máy chủ từ xa đến máy tính nạn nhân thông qua địa chỉ IP giả mạo.
Trong cuộc tấn công DDoS amplification cũ, cổng nguồn là cổng của dịch vụ tấn công. Chẳng hạn gói được trả về từ một máy chủ DNS trong một cuộc tấn công DNS amplification sẽ có cổng nguồn là cổng 53, còn cổng nguồn của các cuộc tấn công NTP amplification là 123.
Điều này cho phép giảm thiểu các dịch vụ DDoS bị phát hiện và chặn các cuộc tấn công amplification bằng cách chặn tất cả các gói đến bằng một cổng nguồn cụ thể.
Tuy nhiên bằng cách sử dụng UPnProxy, kẻ tấn công có thể thay đổi port mapping table của các router dễ bị tổn thương và sử dụng chúng để che cổng nguồn các cuộc tấn công DDoS và tấn công nạn nhân.
Để hiểu rõ hơn về cuộc tấn công DDoS, bạn tham khảo bài viết Cách thức hoạt động để bảo vệ khỏi cuộc tấn công DDoS tại đây
Các cuộc tấn công DDoS với cổng nguồn bị che hiện đang xảy ra trong tự nhiên
Imperva cho biết họ đã phát triển script in-house proof-of-concept đã được thử nghiệm thành công và sao chép thành công một trong hai cuộc tấn công DdoS mà họ phát hiện trong tự nhiên.
Mã PoC đã tìm kiếm các router phơi nhiễm file rootDesc.xml - nơi chứa cấu hình port mapping, thêm các quy tắc port mapping tùy chỉnh để che giấu cổng nguồn, sau đó bắt đầu cuộc tấn công DDoS amplification. Tuy nhiên công ty không phát hành mã PoC vì một số lý do.
Các cuộc tấn công mà Imperva phát hiện trong tự nhiên, mà họ tin rằng các cuộc tấn công này sử dụng giao thức UpnP để ẩn cổng nguồn, tận dụng giao thức DNS và NTP trong DDoS flood, tức là kỹ thuật này không khả thi cho kỹ thuật DDoS amplification mà kẻ tấn công lựa chọn sử dụng.
"Chúng tôi hy vọng những phát hiện này sẽ góp phần giúp ngành công nghiệp giảm thiểu các cuộc tấn công bằng cách chuẩn bị các chiến lược, giải pháp tốt nhất nhằm hạn chế các kỹ thuật tấn công được mô tả ở trên trước khi chúng trở nên phổ biến hơn", nhóm nghiên cứu của Imperva nói thêm.
"Chúng tôi cũng hy vọng những phát hiện này sẽ cung cấp thêm thông tin cho các cơ quan nghiên cứu bảo mật tập trung vào các mối đe dọa bảo mật liên quan đến UPnP và nâng cao nhận thức bảo mật tốt hơn cho các nhà sản xuất và nhà phân phối IoT".
Trong tương lai chắc chắn kỹ thuật này sẽ trở lên phổ biến hơn. Lời khuyên cho người dùng router là nếu phát hiện lỗ hổng UpnProxy nên vô hiệu hóa hỗ trợ UpnP ngay lập tức nếu không sử dụng tính năng này.
Discord đang là một trong những phần mềm nhắn tin, trò chuyện hàng đầu hiện nay, đặc biệt là đối với game thủ. Sau một thời gian dài phát triển và liên tục cập nhật, đến nay, Discord kỷ niệm 3 năm ra mắt với các cải tiến mới cho Fortnite và để tăng hiệu suất hoạt động, sự ổn định khi càng ngày càng có nhiều người sử dụng phần mềm này.