Protocollo usato da almeno 630.000 dispositivi IoT protagonista di attacchi DDoS

Diversi ricercatori impegnati sul tema della sicurezza stanno lanciando l’allarme sull’utilizzo del protocollo Web Services Dynamic Discovery (WS-DD, WSD o WS-Discovery) che può essere utilizzato per lanciare massicci attacchi DDoS (Distributed Denial of Service).

Nel corso dell’ultimo mese diversi gruppi di criminali informatici hanno iniziato ad abusare del protocollo e gli attacchi DDoS basati su WS-Discovery sono ormai diventati un evento settimanale.

WS-Discovery è un protocollo multicast che può essere utilizzato sulle reti locali per scoprire la presenza di altri dispositivi. Tale protocollo viene in particolare utilizzato per supportare la ricerca tra dispositivi e le comunicazioni attraverso il formato SOAP, utilizzando pacchetti UDP (da qui il motivo per cui a volte viene indicato come SOAP-over-UDP).

Poco comune come protocollo a sé stante, WS-Discovery è stato adottato da ONVIF, gruppo industriale che promuove interfacce standardizzate volte a garantire l’interoperabilità dei prodotti in rete. Gli standard ONVIF sono utilizzatissimi, per esempio, dalle telecamere per la videosorveglianza e hanno permesso la realizzazione di pannelli di controllo unificati capaci di gestire i dispositivi di produttori completamente diversi: Videosorveglianza: integrazione e gestione di videocamere completamente differenti l’una dall’altra.

Le specifiche ONVIF sono comunque abbracciate da una vastissima schiera di prodotti: dalle già citate telecamere IP alle stampanti, dagli elettrodomestici ai DVR. Attualmente, secondo il motore di ricerca BinaryEdge, sono oggi attivamente utilizzati circa 630.000 compatibili ONVIF e ciascuno di essi supporta WS-Discovery (secondo Shodan sono circa 200.000 i dispositivi pubblicamente raggiungibili).

Ci sono molteplici ragioni per cui il protocollo WS-Discovery è ideale per sferrare attacchi DDoS: è basato su UDP, il che significa che la destinazione dei pacchetti può essere falsificata. Un aggressore può inviare un pacchetto UDP al servizio WS-Discovery di un dispositivo specificando un indirizzo IP alterato “ad arte”. Quando il dispositivo invia una risposta, la invia all’indirizzo IP falsificato, consentendo agli aggressori di far rimbalzare il traffico e di dirigerlo all’obiettivo dell’attacco DDoS. Inoltre, la risposta inviata attraverso WS-Discovery è notevolmente più pesante rispetto alle dimensioni della richiesta iniziale.

Alla fine del 2018 è stato pubblicato su GitHub il codice proof-of-concept che permette di usare WS-Discovery per sferrare un attacco DDoS massiccio: esso può essere modificato dai criminali informatici per lanciare aggressioni su vasta scala (e ciò sta già avvenendo da alcune settimane).

Al momento, gli attacchi DDoS che sfruttano il protocollo WS-Discovery non hanno raggiunto una fase acuta né sono sfruttati al massimo del loro potenziale. Tuttavia, il gran numero di dispositivi che espongono sull’IP pubblico la porta 3702 adoperata da WS-Discovery renderà il protocollo uno dei “gettonati” da malintenzionati e criminali informatici nei mesi a venire.
Ancora una volta, il consiglio è quello di verificare con attenzione le porte eventualmente lasciate aperte sugli IP pubblici chiudendo tutte quelle non necessarie: Port scanning: un’arma a doppio taglio. Difendetevi. Per scongiurare qualunque rischio di aggressione e proteggere i client collegati al router, la scelta migliore consiste nell’utilizzo di una VPN. Allestendo un server VPN in locale, si potranno gestire i dispositivi IoT anche a distanza fidando su un livello di sicurezza nettamente superiore: vedere anche Router, le operazioni da fare per renderlo sicuro e Nmap, cos’è e come funziona il re dei port scanner.