WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Tin tặc khai thác Portmap khuếch đại tấn công DDoS
Các chuyên gia vừa cảnh báo về một phương thức tấn công khuếch đại DDoS mới do có quá nhiều người không thực hiện các bước bảo vệ cơ bản.
Vài năm trở lại đây, các dịch vụ như DNS hay Network Time Protocol (NTP) luôn là công cụ bị lợi dụng cho nhiều cuộc tấn công DDoS. Gần đây, Portmap trở thành cái tên mới nhất trong danh sách các dịch vụ này, nhà mạng Level 3 cảnh báo.
Các cuộc tấn công mà Level 3 quan sát được chủ yếu nhắm vào gaming, hosting và hạ tầng Internet.
Không như DNS và NTP, Portmap thường không cần sử dụng cho các hệ thống có kết nối Internet. Vô hiệu hóa hoặc chặn dịch vụ Portmap có kết nối Internet bằng tường lửa là một việc gần như hiển nhiên, nhưng lại có quá nhiều quản trị hệ thống coi thường cách này, và tin tặc đã lợi dụng điều đó.
Tod Beardsley, quản lý an ninh của Rapid7, nhận xét rằng “Portmap (port 111/UDP) trước đây được sử dụng phổ biến trên rất nhiều các bản phân phối UNIX, bao gồm Linux và Solaris. Việc dịch vụ này là một phần của tấn công “DDoS mới” thật vô lý, vì các cuộc tấn công Portmap không có gì là mới”.
Lưu lượng Portmap toàn cầu gần đây tăng nhẹ (nếu so sánh lưu lượng trong 7 ngày cuối cùng của tháng 6 với 7 ngày từ 6-12/8). Sự tăng trưởng này là rất nhỏ so với các dịch vụ UDP khác, nhưng vẫn đủ để trở thành miếng mồi hấp dẫn cho hacker
Các host hỗ trợ Portmap trong các kết nối Internet đứng trước nguy cơ trở thành tòng phạm trong các cuộc tấn công khuếch đại/phản xạ DDoS.
Các dịch vụ khác không kết nối Internet như SSDP (Simple Service Discovery Protocal), gần đây đã bị khai thác trong các tấn công khuếch đại DDoS. Những cài đặt Portmap không an toàn sẽ mang lại nguy cơ tương tự như tấn công khuếch đại dựa vào UDP.
Ashley Stephenson, chủ tịch của Corero Network Security, giải thích rằng: “Dịch vụ RPCbind hay Portmap được cho là khuếch đại tấn công DDoS từ xấp xỉ 7x lên 27x. Nếu dịch vụ RPCbind/Portmap được truy vấn, trong một số trường hợp nó có khả năng hồi đáp với lượng dữ liệu lớn có thể vượt quá kích cỡ của truy vấn, vì thế thuật ngữ “khuếch đại” có thể được sử dụng ở đây”.
Stephenson cảnh báo nguy cơ an ninh này không thể được giải quyết nhanh chóng – dù rất dễ thực hiện.
“Vô hiệu hóa hoặc chặn các dịch vụ RPCbind/Portmap là một công việc thông thường trên bất kỳ hệ thống nào, nhưng lại không thể nhanh chóng thực hiện trên hàng triệu hệ thống đang kết nối đến Internet”.
Vài năm trở lại đây, các dịch vụ như DNS hay Network Time Protocol (NTP) luôn là công cụ bị lợi dụng cho nhiều cuộc tấn công DDoS. Gần đây, Portmap trở thành cái tên mới nhất trong danh sách các dịch vụ này, nhà mạng Level 3 cảnh báo.
Các cuộc tấn công mà Level 3 quan sát được chủ yếu nhắm vào gaming, hosting và hạ tầng Internet.
Không như DNS và NTP, Portmap thường không cần sử dụng cho các hệ thống có kết nối Internet. Vô hiệu hóa hoặc chặn dịch vụ Portmap có kết nối Internet bằng tường lửa là một việc gần như hiển nhiên, nhưng lại có quá nhiều quản trị hệ thống coi thường cách này, và tin tặc đã lợi dụng điều đó.
Tod Beardsley, quản lý an ninh của Rapid7, nhận xét rằng “Portmap (port 111/UDP) trước đây được sử dụng phổ biến trên rất nhiều các bản phân phối UNIX, bao gồm Linux và Solaris. Việc dịch vụ này là một phần của tấn công “DDoS mới” thật vô lý, vì các cuộc tấn công Portmap không có gì là mới”.
Lưu lượng Portmap toàn cầu gần đây tăng nhẹ (nếu so sánh lưu lượng trong 7 ngày cuối cùng của tháng 6 với 7 ngày từ 6-12/8). Sự tăng trưởng này là rất nhỏ so với các dịch vụ UDP khác, nhưng vẫn đủ để trở thành miếng mồi hấp dẫn cho hacker
Các host hỗ trợ Portmap trong các kết nối Internet đứng trước nguy cơ trở thành tòng phạm trong các cuộc tấn công khuếch đại/phản xạ DDoS.
Các dịch vụ khác không kết nối Internet như SSDP (Simple Service Discovery Protocal), gần đây đã bị khai thác trong các tấn công khuếch đại DDoS. Những cài đặt Portmap không an toàn sẽ mang lại nguy cơ tương tự như tấn công khuếch đại dựa vào UDP.
Ashley Stephenson, chủ tịch của Corero Network Security, giải thích rằng: “Dịch vụ RPCbind hay Portmap được cho là khuếch đại tấn công DDoS từ xấp xỉ 7x lên 27x. Nếu dịch vụ RPCbind/Portmap được truy vấn, trong một số trường hợp nó có khả năng hồi đáp với lượng dữ liệu lớn có thể vượt quá kích cỡ của truy vấn, vì thế thuật ngữ “khuếch đại” có thể được sử dụng ở đây”.
Stephenson cảnh báo nguy cơ an ninh này không thể được giải quyết nhanh chóng – dù rất dễ thực hiện.
“Vô hiệu hóa hoặc chặn các dịch vụ RPCbind/Portmap là một công việc thông thường trên bất kỳ hệ thống nào, nhưng lại không thể nhanh chóng thực hiện trên hàng triệu hệ thống đang kết nối đến Internet”.
Nguồn: The Register
Chỉnh sửa lần cuối bởi người điều hành: