El FBI envió una alerta la semana pasada advirtiendo sobre el descubrimiento de nuevos protocolos de red, CoAP, WS-DD, ARMS, y Jenkins, que han sido abusados ​​para lanzar ataques de denegación de servicio distribuido a gran escala (DDoS).







La Oficina Federal de Investigaciones envió una alerta la semana pasada advirtiendo sobre el descubrimiento de nuevos protocolos de red que han sido abusados ​​para lanzar ataques de denegación de servicio distribuido a gran escala (DDoS).

La alerta enumera tres protocolos de red y una aplicación web como vectores de ataque DDoS recientemente descubiertos.

• CoAP (Constrained Application Protocol)
• WS-DD (Web Services Dynamic Discovery)
• ARMS (Apple Remote Management Service)
• Jenkins web-based automation software.

La lista incluye CoAP (Protocolo de aplicación restringida), WS-DD (Descubrimiento dinámico de servicios web), ARMS (Servicio de administración remota de Apple) y el software de automatización basado en la web de Jenkins.

Tres de los cuatro (CoAP, WS-DD, ARMS) ya han sido abusados ​​en el mundo real para lanzar ataques DDoS masivos, dijo el FBI

CoAP

En diciembre de 2018, comenzaron a abusar de las funciones de transmisión de comandos y multidifusión del Protocolo de Aplicación Restringida (CoAP) para realizar ataques de amplificación y reflexión DDoS, lo que resulta en un factor de amplificación de 34, según informes de código abierto. A partir de enero de 2019, la gran mayoría de los dispositivos CoAP con acceso a Internet estaban ubicados en China y utilizaban redes móviles punto a punto.

Los investigadores no encontraron fallas de seguridad en el protocolo CoAP, pero advirtieron que es susceptible a la suplantación de IP, los atacantes podrían explotarlo para los ataques de amplificación DDoS.

M2M protocols (machine-to-machine)

• Message Queuing Telemetry Transport (MQTT)
• Constrained Application Protocol (CoAP).

• https://documents.trendmicro.com/assets/white_papers/wp-the-fragility-of-industrial-IoTs-data-backbone.pdf

580,000 dispositivos CoAP disponibles en Shodan (la mayoría en China)

WS-DD

En mayo y agosto de 2019, los ciber actores explotaron el protocolo de descubrimiento dinámico de servicios web (WS-DD) para lanzar más de 130 ataques DDoS, con algunos alcanzando tamaños de más de 350 Gigabits por segundo (Gbps), en dos oleadas de ataque separadas, de acuerdo con los informes de código abierto. Más tarde, ese mismo año, varios investigadores de seguridad informaron un aumento en el uso de protocolos no estándar y dispositivos IoT mal configurados por parte de los actores cibernéticos para amplificar los ataques DDoS, según informes separados de código abierto.

Los dispositivos IoT son objetivos atractivos porque utilizan el protocolo WS-DD para detectar automáticamente nuevos dispositivos conectados a Internet cercanos. Además, WS-DD opera utilizando UDP, que permite a los actores falsificar la dirección IP de una víctima y hace que la víctima se inunde con datos de dispositivos IoT cercanos. A agosto de 2019, había 630,000 dispositivos IoT internetaccesibles con el protocolo WS-DD habilitado.

“En una red de prueba con clientes y servidores CoAP, lanzamos un ataque de amplificación con un aumento en el tamaño de la carga útil y estimamos el factor de amplificación de ancho de banda máximo (BAF). Según nuestra estimación, CoAP puede alcanzar un factor de amplificación de hasta 32 veces (32x), que está aproximadamente entre la potencia de amplificación de DNS y SSDP ".

ARMS

En octubre de 2019, explotaron el Apple Remote Management Service (ARMS), una parte de la función Apple Remote Desktop (ARD), para realizar ataques de amplificación DDoS. Con ARD habilitado, el servicio ARMS comenzó a escuchar en el puerto 3283 los comandos entrantes a dispositivos remotos de Apple, que los atacantes usaban para lanzar ataques de amplificación DDoS con un factor de amplificación de 35.5: 1. ARD se usa principalmente para administrar grandes flotas de Apple Macs por universidades y empresas.
 

Jenkins

En febrero de 2020, los investigadores de seguridad del Reino Unido identificaron una vulnerabilidad en los protocolos de descubrimiento de red integrados de los servidores de automatización de código abierto y sin servidores de Jenkins utilizados para respaldar el proceso de desarrollo de software que los ciber actores podrían explotar para realizar ataques de amplificación DDoS. Los investigadores estimaron que los actores cibernéticos podrían usar servidores Jenkins vulnerables para amplificar el tráfico de ataques DDoS 100 veces contra la infraestructura en línea de víctimas específicas en todos los sectores.

Los funcionarios del FBI creen que estas nuevas amenazas DDoS continuarán siendo explotadas aún más para causar tiempo de inactividad y daños en el futuro previsible.

El propósito de la alerta es advertir a las empresas estadounidenses sobre el peligro inminente, para que puedan invertir en sistemas de mitigación de DDoS y crear asociaciones con sus proveedores de servicios de Internet para responder rápidamente a cualquier ataque que aproveche estos nuevos vectores.

• https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/jenkins-dos-attacks/

El FBI dice que debido a que estos vectores DDoS recientemente descubiertos son protocolos de red que son esenciales para los dispositivos en los que se usan (dispositivos IoT, teléfonos inteligentes, Mac), es poco probable que los fabricantes de dispositivos eliminen o deshabiliten los protocolos en sus productos, de ahí que La amenaza de una nueva ola de ataques DDoS se avecina en el futuro.

"En el corto plazo, los actores cibernéticos probablemente explotarán la creciente cantidad de dispositivos con protocolos de red incorporados habilitados por defecto para crear botnets a gran escala capaces de facilitar ataques DDoS devastadores", dijo el FBI refiriéndose a los nuevos vectores DDoS.

A partir de ahora, estos cuatro nuevos vectores de ataque DDoS se han utilizado esporádicamente, pero los expertos de la industria esperan que sean ampliamente abusados ​​por los servicios DDoS de alquiler.

Según el FBI, los actores de amenazas continuarán abusando de los protocolos anteriores en ataques en la naturaleza, por esta razón, recomienda a las compañías estadounidenses que adopten las mitigaciones DDoS necesarias.

Mitigaciones recomendadas:

•     Inscríbase en un servicio de mitigación de denegación de servicio que detecta flujos de tráfico anormales y redirige el tráfico fuera de su red.
•     Cree una asociación con su proveedor de servicios de Internet (ISP) local antes de un evento y trabaje con su ISP para controlar el tráfico de red que ataca su red durante un evento.
•     El ISP puede retener los datos forenses necesarios para las investigaciones policiales.
•     Cambie el nombre de usuario y las contraseñas predeterminadas para todos los dispositivos de red, especialmente los dispositivos IoT. Si no se puede cambiar el nombre de usuario o la contraseña predeterminados del dispositivo, asegúrese de que los dispositivos que proporcionan acceso a Internet a ese dispositivo tengan una contraseña segura y una segunda capa de seguridad, como la autenticación multifactor o el cifrado de extremo a extremo.
•     Configure los firewalls de red para bloquear direcciones IP no autorizadas y deshabilite el reenvío de puertos.
•     Asegúrese de que todos los dispositivos de red estén a la altura de los datos y que se incorporen parches de seguridad cuando estén disponibles.

Fuentes:
https://www.zdnet.com/article/fbi-warns-of-new-ddos-attack-vectors-coap-ws-dd-arms-and-jenkins/