威胁情报专栏|ADDP反射攻击来袭?NTI已支持相关检测
2020-07-23
近年来,越来越多的可造成UDP反射攻击的协议进入人们的视线(如CoAP、Ubiquiti、WS-Discovery、OpenVPN、某DVR协议)。这些攻击方式都区别于大家所熟知的DNS、SSDP、NTP、Memcached等反射攻击类型,给DDoS攻击防护带来了一定的挑战。
2020年6月,以色列网络安全公司JSOF曝光了Treck TCP/IP协议栈的若干0-day漏洞,可能导致全球数亿台设备受到影响。在对已公布的白皮书进行分析后,9455澳门新葡萄娱乐场官网版格物实验室发现,其中的一家受影响的厂商Digi生产的设备使用ADDP(Advanced Digi Discovery Protocol)进行设备发现。ADDP使用的组播地址为224.0.5.128,端口2362,但该协议在实现时,也支持单播,加之UDP协议能够伪造源IP,故存在被用作反射攻击的风险。
9455澳门新葡萄娱乐场官网版威胁情报中心(NTI)对该攻击持续监控,已支持对ADDP反射攻击的相关检测及测绘数据检索,可提供最新ADDP暴露资产情报并持续更新。
在NTI上通过特定条件搜索,可获得测绘数据列表:
9455澳门新葡萄娱乐场官网版格物实验室采用9455澳门新葡萄娱乐场官网版威胁情报中心(NTI)在2020年6月的一轮完整测绘数据对ADDP服务的暴露情况进行了分析,关键发现如下:
1. 全球有5000多个IP开放了ADDP服务,存在被利用进行DDoS攻击的风险。这些设备涉及Digi的多款产品,如Connect WAN 3G、ConnectPort WAN VPN、ConnectPort X4、Connect ME4 9210等。
2. 开放ADDP服务的设备暴露数量最多的五个国家依次是美国、意大利、波兰、智利和西班牙,美国的占比达到了43%。
3. ADDP探测报文的长度是14字节,响应报文长度大多是100多个字节,平均长度为126字节,由此可得平均带宽放大因子为9。
4. ADDP作为一种新的反射攻击类型,当前暂未引起攻击者的关注,但其潜在的风险主要有两个:一是可被用于DDoS攻击,二是可被用于发现Digi厂商的设备,后续被用于Ripple20相关的攻击。
防护建议:
1. 作为安全厂商:
1) 可以在扫描类产品中加入ADDP扫描能力,及时发现客户网络中存在的安全隐患。
2) 可以在防护类产品中加入对于ADDP的流量检测能力,及时发现客户网络中存在的安全威胁。也可以关联开放ADDP服务的IP的威胁情报,阻断命中的源IP的连接。
2. 作为设备开发商:
在对ADDP服务发现报文进行回应时,检查该报文的源IP是否是多播地址,如果不是多播地址的话,则不做回应。这样的话,ADDP服务被利用发起反射攻击的难度将大大增加。
3. 作为运营商:
需遵循BCP38网络入口过滤。
4. 作为监管部门:
1) 对于网络中的ADDP威胁进行监控,发现问题进行通报。
2) 推动设备中ADDP功能的安全评估,如设备不满足相关要求,禁止设备上市等。
5. 作为设备用户:
1) 如无需要,关闭设备的ADDP发现功能。
2) 尽量将开放ADDP服务的设备部署在局域网中,这样可以增大设备被利用的难度。
3) 如果需要将开放ADDP服务的设备部署在公网上,则在设备之前部署路由器(利用NAT能力)或防护类安全设备(如防火墙),控制外部IP对于设备的访问。
6. 作为有DDoS防护需求的用户:
购买具备ADDP反射攻击防护能力的安全厂商的DDoS防护产品。如已购买,并且产品支持应用层特征的自定义,可以加入相应的特征规则。
《ADDP反射攻击分析》报告详细内容点击阅读原文获取。