Nieuw type DDoS-aanvallen misbruikt opnieuw IoT-toestellen

Een nieuwe vorm van DDoS-aanvallen maakt misbruik van een welkbekend, maar nog bruikbaar veiligheidslek binnen Universal Plug and Play (UPnP). Het geeft aanvallers de mogelijkheid om klassieke detectiemethodes van hun aanvallen te omzeilen.

Het UPnP-protocol bestaat al sinds 2001 en heeft een slechte geschiedenis wat betreft veiligheidsproblemen. De standaard wordt veel gebruikt voor de ontdekking van toestellen binnen een lokaal netwerk, vooral bij IoT-toestellen. Het protocol heeft een gebrek aan authenticatiebeveiliging en heeft dikwijls ook slechte standaardinstellingen.

Geen prioriteit

“Heel wat fabrikanten herbruiken UPnP-protocollen in nieuwe toestellen, zonder dat ze ook maar de moeite nemen om die te updaten,” zegt veiligheidsbedrijf Imperva aan ZDNet. Imperva heeft de nieuwe DDoS-aanval ontdekt en ook de manier van werken van de hackers gedocumenteerd.

“Fabrikanten van heel wat UPnP-toestellen focussen vooral op compliance met het protocol en de eenvoudige installatie ervan, in plaats van de beveiliging. Wij hebben een nieuwe DDoS-techniek ontdekt die de gekende zwakheden misbruikt van UPnP wat elk bedrijf met een online aanwezigheid in gevaar brengt,” aldus Imperva.

De onderzoekers merkten de nieuwe aanvalstechniek voor het eerst op bij een Simple Service Discovery Protocol (SSDP)-aanval in april. Dit type botnet is meestal klein en spooft de IP-adressen van het slachtoffer om klassieke internettoestellen zoals routers, printers en access points op te roepen.

Hoewel de meeste aanvallen vooral van de gewoonlijke SSDP-poort 1900 kwamen, maakte 12 procent van de payload gebruik van willekeurige poorten. Op deze manier kan een aanval onopvallend gebeuren door de poortinformatie af te dekken.

Gewoon uitschakelen

Wat kan je hiertegen doen? Schakel UPnP-detectie uit op al je internettoestellen die amper of nooit firmware-updates krijgen. In heel wat gevallen biedt UPnP geen enkele meerwaarde voor gebruikers en is het een open poort voor hackers wanneer toestellen niet worden geüpdatet.

Eerder dit jaar werd GitHub nog slachtoffer van de grootste DDoS-aanval tot nu toe met 1,35 Tbps aan verkeer naar de site.