Attacchi DDoS più semplici ed efficaci grazie a una leggerezza presente in molti router

I tecnici di Imperva segnalano la scoperta di alcuni attacchi che sfruttano la modalità d'attacco UPnProxy di cui aveva parlato Akamai esattamente un mese fa. Il rischio è che qualunque router che espone UPnP sull'interfaccia WAN possa trasformarsi in un proxy utilizzabile per sferrare attacchi DDoS.

Gli attacchi DDoS (Distributed Denial of Service) sono aggressioni che generano un traffico imponente verso una qualunque tipologia di server così da metterlo in crisi e impedire la normale e corretta erogazione dei servizi abitualmente forniti.
Rispetto ai tradizionali attacchi DoS, i DDoS sfruttano numerose macchine attaccanti che insieme formano una botnet.

Gli esperti di Imperva hanno rilevato che i criminali informatici hanno cominciato a utilizzare un nuovo approccio per superare alcune delle più comuni contromisure adoperate per limitare gli effetti degli attacchi DDoS.

Il nocciolo del problema risiede, ancora una volta, nell’utilizzo del protocollo di rete UPnP (Universal Plug and Play) che viene oggi adoperato per mascherare gli attacchi DDoS in corso e renderli più difficilmente bloccabili.


Il protocollo UPnP, presentato nell’articolo UPnP, a cosa serve e perché va disattivato immediatamente, consta di una particolare caratteristica che permette di inoltrare le connessioni dalla rete Internet alla rete locale. Ciò avviene mappando le porte in ingresso verso porte su IP privati locali.
Come spiegano i tecnici di Imperva, però, ben pochi router si preoccupano di verificare se un indirizzo IP indicato come interno sia davvero tale. Un aggressore può quindi la tabella di mappatura delle porte e usare il router come proxy in grado di reindirizzare tutte le richieste provenienti da un certo IP pubblico verso un altro IP pubblico remoto.

Questo tipo di scenario non è affatto nuovo ed era stato descritto da Akamai esattamente un mese fa: UPnP, a cosa serve e perché va disattivato immediatamente.
Il problema, battezzato da Akamai UPnProxy, viene però adesso concretamente utilizzato per lanciare attacchi DDoS estremamente efficaci.


Non soltanto gli utenti finali è bene che controllino la completa disattivazione del protocollo UPnP ma è a questo punto cruciale che analoga operazione venga posta in essere da coloro che gestiscono reti aziendali e offrono soluzioni di connettività ai propri clienti.

Ti consigliamo anche

Link copiato negli appunti