Descubren cómo hacer hasta 153 veces más potentes los ataques DDoS

Redes

Los ataques DDoS son cada vez más potentes. La culpa la encontramos en que cada vez hay más dispositivos conectados a Internet con credenciales de acceso inseguras, las cuales permiten a un atacante incluir ese dispositivo hackeado dentro de una botnet. Si a eso le sumas casi un millón de dispositivos, queda un ataque muy peligroso que puede tumbar casi cualquier web.

WDS: el protocolo de descubrimiento inalámbrico que hará que los ataques DDoS sean más potentes

La clave del nuevo fallo que ha sido descubierto por investigadores se encuentra en una herramienta que está implementada incorrectamente en casi un millón de dispositivos conectados, tales como cámaras de seguridad u otros dispositivos del IoT. El protocolo afectado es WS-Discovery (WSD), utilizado por los dispositivos para conectarse entre sí. Esta función está incluida en Windows desde Windows Vista, y es uno de los métodos usados por el sistema operativo para encontrar automáticamente impresoras que estén conectadas en la misma red del ordenador.

ataque ddos

Este tipo de comunicaciones deberían ocurrir sólo en una red local, pero los investigadores han descubierto que se pueden enviar solicitudes a estos dispositivos y recibir sus respuestas incluso a través de Internet. Esto implica que pueden ser configurados para enviar información a la web que un atacante quiera. Si se envía una petición que ocupe 100 MB, se pueden obtener respuestas que ocupen entre 700 MB y 15 GB.

Investigadores de Akamai estaban investigando este fallo cuando un ataque DDoS que se aprovechaba de él fue lanzado contra una gran empresa del mundo de los videojuegos, generando picos de 280 Gbps de tráfico. La cifra sigue lejos de las alcanzadas en los últimos años, con 1,7 Tbps siendo el actual récord registrado, establecido a principios de 2018.

Memcached, NTP y ahora WDS: los fallos que se aprovechan para hacer más potentes los ataques DDoS

A pesar de ello, la cifra es alarmante, ya que hay 802.115 dispositivos que pueden ser usados en un ataque que además es fácilmente escalable. Desde Netscout afirman que los servicios de mitigación de ataques DDoS han visto 1.000 ataques basados en WDS en los últimos 3 meses, y 473 de ellos en los últimos 30 días.

El mayor ataque usó 150 Gbps de ancho de banda, aunque afirman que puede llegar a multiplicarse por 300. Con él, un solo PC con una conexión de 100 Mbps puede multiplicar el ataque y alcanzar hasta 30 Tbps de tráfico, sumándose a otras técnicas peligrosas usadas en los últimos años, como NTP o memcached.

De momento, el ataque detectado por Akamai usó la técnica de la amplificación para duplicar el tamaño de las solicitudes iniciales, pero llegaron a multiplicar por hasta 153 las respuestas, con otras aumentando entre 7 y 20 veces.

La solución para evitar esto, por suerte, es tan fácil como bloquear el puerto 3702. Muchos de los fallos que permiten acceder a nuestros dispositivos de manera remota tienen que ver con puertos que están indebidamente abiertos. De hecho, con sólo cerrar 3 puertos, estaremos protegidos ante la mayoría de ataques que se producen en la red.

Escrito por Alberto García

Fuente > Ars Technica