Web Services Dynamic Discovery може бути використаний зловмисниками для проведення множинних DDoS-атак
Web Services Dynamic Discovery може бути використаний зловмисниками для проведення множинних DDoS-атак
Дослідники безпеки попереджають про зловживання протоколом Web Services Dynamic Discovery (WS-DD, WSD, або WS-Discovery), який може бути використаний зловмисниками для проведення множинних DDoS-атак.
Перші атаки такого типу були виявлені в травні цього року, повідомляє видання ZDNet. Хоча їхня кількість досягла позначки в 130 атак з потужністю деяких у 350 Гбіт/с, на той момент дослідники не хотіли розголошувати інформацію про інциденти.
WS-Discovery — це багатоадресний протокол для виявлення інших пристроїв, які обмінюються даними через певний протокол або інтерфейс. Він застосовується для виявлення та обміну даними за допомогою SOAP з використанням пакетів UDP, тому іноді WS-Discovery називають SOAP-over-UDP. На сьогоднішній день протокол WS-Discovery використовують такі пристрої, як IP-камери, принтери, побутові прилади та DVR. Згідно з пошуковим запитом BinaryEdge, в Мережі знаходиться понад 630 тис. вразливих пристроїв.
WS-Discovery може стати улюбленим інструментом для проведення DDoS-атак у руках зловмисників. Оскільки протокол заснований на UDP, існує можливість заміни місця призначення пакетів. Злочинцеві достатньо відправити UDP-пакет WS-Discovery-службі пристрою, використовуючи підроблену зворотну IP-адресу. Пристрій відповість на нього та надасть злочинцям доступ до керування WS-Discovery-трафіком. У зв'язку з тим, що відповідь WS-Discovery більша від початкового запиту, атакуючим також не важко посилити DDoS-атаки.
Коефіцієнт ампліфікації травневих атак, в рамках яких використовувався WS-Discovery, сягав 300 і навіть 500, тоді як для інших UDP-протоколів він становить у середньому 10. У серпні були слабкі атаки, але експерти пов'язують цей факт з необізнаністю угруповань про можливості протоколу або відсутністю необхідного обладнання.
Поки що кіберзлочинці використовують протокол WS-Discovery не на повну силу. Але дослідники безпеки побоюються, що незабаром ситуація зміниться і цей метод візьме на озброєння майже кожен оператор ботнета.
