Киберпреступники экспериментируют с новым методом обхода ряда решений по защите от DDoS-атак, используя протокол Universal Plug and Play (UPnP), чтобы замаскировать исходный порт сетевых пакетов, отправленных в ходе атаки.
Как следует из отчета специалистов из компании Imperva, им удалось зафиксировать по меньшей мере две DDoS-атаки, в которых использовалась данная техника.
Протокол Universal Plug and Play (UPnP) — технология, разработанная для упрощения обнаружения соседних устройств в локальной сети. Одной из возможностей протокола является его способность пересылать соединения из Интернета в локальную сеть. Он делает это, сопоставляя входящие соединения IP/порт с локальными. Данные функции позволяют сетевым администраторам получать доступ к службам, доступным только во внутренней сети.
Однако, если злоумышленнику удастся изменить таблицу сопоставления портов, он может использовать маршрутизатор в качестве прокси и перенаправить входящие соединения. Таким образом, киберпреступники могут изменять таблицы сопоставления портов уязвимых маршрутизаторов и использовать их для маскировки исходного порта DDoS-атак.
Специалисты разработали собственный PoC-код, с помощью которого им удалось успешно протестировать и воспроизвести одну из двух DDoS-атак, использующих данный метод.
РoC-код искал маршрутизаторы с доступным файлом rootDesc.xml, содержавшим конфигурацию сопоставления портов, затем добавлял пользовательские правила сопоставления портов, которые скрывали исходный порт, после чего начинал саму DDoS-атаку. По очевидным причинам компания не опубликовала PoC-код.

Источник: securitylab.ru