Güvenlik araştırmacıları, saldırganların büyük dağıtılmış hizmet reddi ( DDoS ) saldırıları başlatmak için Web Hizmetleri Dinamik Keşif (WS-Discovery) protokolünü kötüye kullanabileceğini keşfetti . Güvenlik araştırmacıları, siber saldırganların son birkaç ay içerisinde farklı DDoS saldırılarında WS-Discovery protokolünü kötüye kullandığını gördükten sonra bir uyarı yayınladılar.
WS-Discovery protokolünü kullanan ilk DDoS kampanyası Mayıs ayında, 350 Gbps’in üzerinde bir boyuta ulaşan 130 DDoS saldırısı gözlemleyen güvenlik araştırmacısı Tucker Preston tarafından keşfedildi. Saldırı sonraki aylarda azaldı, ancak ZeroBS tarafından bildirildiği gibi kampanyalarda daha küçük çapta yeniden ortaya çıktı. İkinci saldırı dalgası, çoğu IP kamera ve yazıcı olan 5.000 cihazı kullanan botnetleri içeren maksimum 40 Gbps’ye ulaştı.
Teknoloji web sitesi ZDNet , Mayıs ayında ilk keşfedilmesinden bu yana protokolün kötüye kullanıldığını biliyordu , ancak ifşa açıklamalarından vazgeçmek, daha fazla siber suçlu grubunun kendi DDoS saldırıları için protokolü kullanmasına izin vermedi. Bununla birlikte, son aylarda, daha fazla siber suç grubunun kendi başlarına bu açığı keşfetmiş olabileceğini göstermiştir. Güvenlik araştırmacıları şimdi uyarılar yayınlıyor, bu nedenle potansiyel olarak etkilenen taraflar gerekli tedbirleri alabilir.
Nispeten nadir kullanılan bir protokol olmasına rağmen ONVIF (IP tabanlı güvenlik ürünleri için geliştirme ve standartlaştırılmış arabirimler tanıtımına kolaylaştıran bir küresel ve açık bir sanayi) için WS-Keşif protokolünü tavsiye edilmiştir.
ONVIF üyeleri, muhtemelen bu öneriyi izleyen büyük teknoloji markalarını içermektedir. Bu, WS-Discovery protokolünün binlerce cihaza nasıl ulaştığını açıklayabilir. Web arama motoru BinaryEdge’e göre, yaklaşık 630.000 ONVIF tabanlı cihaz WS-Discovery protokolünü kullanır.
Protokolün yaygın kullanımı, diğer birkaç teknik özellik ile birlikte, ideal bir DDoS kampanya aracı haline getirir.
WS-Discovery , yerel bir ağdaki hizmetleri veya yakındaki aygıtları bulmak için kullanılan çok noktaya yayın bulma protokolüdür. Cihazlar arası keşfi desteklemek için UDP (Kullanıcı Datagram Protokolü) taşıma protokolü üzerinden SOAP (Basit Nesne Erişim Protokolü) mesajları kullanır.
UDP tabanlı bir protokol olarak WS-Discovery, saldırganların tipik UDP flood saldırıları yapmalarına ve paket hedefini bozmalarına izin verebilir. Saldırgan, örneğin, sahte IP adresine sahip bir UDP paketi gönderebilir, böylece aygıt sahte IP adresine bir yanıt gönderir. Bu, saldırganların trafiği DDoS kampanyalarının hedefine yönlendirmelerini sağlar.
Ek olarak, WS-Discovery yanıtları aldığı girdiden birkaç kat daha büyük olabilir. Saldırgan, bu özelliği, yanıtı DDoS saldırı hedefine yönlendirilecek olan bir cihazın WS-Discovery’sine bir başlangıç paketi göndermek için kullanabilir. Hedef daha sonra orijinal paket boyutundan birkaç kat daha büyük bir paket alır.
Ortak protokolleri kullanarak tehdit
Protokolleri içeren tehditler, cihazlara, sistemlere ve uygulamalara sıkı sıkıya bağlı olduklarından kritik savunma noktaları haline gelmiştir. Aynı zamanda, protokoller güvenlik açıklarına ve kritik cihazların saldırılarına yol açabilir.
İletişim protokolleri, özellikle, nesnelerin interneti ( IoT ) ve endüstriyel şeylerin interneti ( IIoT ) kullanan , bu protokollerle ilgili zayıflıkların ve yanlış yapılandırmaların, açıklanmış kayıtlardan daha fazla yol açabileceği çok önemli sistemler haline gelmiştir .
İnternet servis sağlayıcıları, özellikle ağlarındaki cihazlarda 3702 bağlantı noktasını hedef alan internetten gelen trafiği engellemek için güvenlik önlemleri alabilir. Bu önlem, gelecekteki DDoS kampanyalarında bu cihazların kötüye kullanımını önlemeye yardımcı olabilir.
