พบ DDoS Attack แบบใหม่ใช้โปรโตคอล UPnP อำพรางพอร์ตต้นทางเลี่ยงการตรวจจับ

พบ DDoS Attack แบบใหม่ที่ใช้โปรโตคอล UPnP ช่วยกำบังพอร์ตต้นทางเพื่อหลบเลี่ยงการป้องกันจากอุปกรณ์บรรเทาการโจมตีทั่วไป

โปรโตคอล Universal Plug and Play หรือ UPnP ถูกออกแบบมาเพื่อให้อุปกรณ์ เช่น คอมพิวเตอร์ ปริ้นเตอร์ Internet gateway อุปกรณ์มือถือ หรือ AP ในเครือข่ายภายในสามารถค้นหากันได้อย่างง่ายดายผ่าน UDP พอร์ต 1900 และควบคุมอุปกรณ์ตาม TCP พอร์ตที่ต้องการได้ นอกจากนั้น UPnP ยังมีฟีเจอร์ที่สามารถส่งต่อการเชื่อมต่อจากอินเทอร์เน็ตเข้ามายังเครือข่ายภายในได้โดยการทำ Mapping พอร์ต รวมถึงอนุญาตการทำ NAT Traversal และให้ผู้ดูแลเข้าถึงบริการจากเครือข่ายภายในเท่านั้นเช่น เพิ่ม/ลบ การ Mapping port เป็นต้น โดย UPnP มีการใช้งานประโยชน์จาก HTTP, SOAP และ XML เพื่อให้บริการ รายละเอียด กิจกรรม การส่งข้อมูล เหตุการณ์ต่างๆ เช่น การ Request และ Advertisement ผ่านทาง HTTP บน UDP พอร์ต 1900

 

อย่างไรก็ตามมีงานวิจัยที่เผยถึงช่องโหว่ของ UPnP เกี่ยวกับว่า SOAP API สามารถถูกใช้เพื่อเข้าไปตั้งค่าอุปกรณ์ผ่าน WAN หรือ Execute คำสั่งในการเพิ่มพอร์ตของการ Mapping ได้ โดยสาเหตุที่ผู้เชี่ยวชาญเกิดความสงสัยเนื่องจากระหว่างการบรรเทาการโจมตี SSDP Amplification (SSDP มีพื้นฐานจาก UPnP) นั้นดันไปพบกับพอร์ตที่ไม่คาดหวังเพราะไม่ใช่พอร์ต 1900 นั่นเอง ด้วยทั้งหมดที่กล่าวมาทีมวิจัยจึงเริ่มทดลองการโจมตีด้วยขั้นตอนดังนี้

  • สแกนหา Router ที่เปิด UPnP ไว้ (บ้านที่ใช้ CCTV หลายที่แนะนำทำด้วยวิธีนี้เช่นกัน) ด้วยการร้องขอ SSDP โดยอาจจะผ่านทางบริการออนไลน์ เช่น Shodan.io ซึ่งมีเราเตอร์กว่า 1.3 ล้านตัวจากการค้นหาแต่ไม่ใช่ทั้งหมดที่ได้รับผลกระทบ
  • เข้าถึงไฟล์ XML ของอุปกรณ์ (rootDesc.xml) ผ่านทาง HTTP โดยใช้ IP ที่หามาได้ ซึ่งภายในไฟล์ XML นี้จะประกอบไปด้วยลิสต์ของบริการ UPnP ทั้งหมดและอุปกรณ์
  • เปลี่ยนแปลงการ Forward พอร์ตผ่านทางคำสั่งโดย Imperva กล่าวว่า “สามารถสร้าง SOAP Request ขึ้นมาเพื่อสร้างกฏการ Forward โดยเปลี่ยนแปลงแพ็กเกจ UDP ทั้งหมดที่เข้ามาทางพอร์ต 1337 ไปยัง DNS Server ไอพี 3.3.3.3 ผ่านพอร์ต 53 ได้” ในขั้นตอนนี้เองตามความคาดหวังคือการ Mapping ควรทำได้แค่ระหว่าง IP ภายนอกและภายใน แต่เราเตอร์ส่วนใหญ่มักไม่ได้ตรวจสอบว่า IP ที่เข้ามาเป็น Internal จริงหรือไม่ทำให้มันสามารถกลายเป็น Proxy จาก IP ภายนอกไปยัง IP ภายนอกได้

Cr. techtalkthai, securityweek, bleepingcomputer

Post Releases