De Web Services Dynamic Discovery (WS-Discovery) protocol kunnen worden benut voor grootschalige DDoS-aanvallen te lanceren, security onderzoekers rapporteren.
Wat is de WS-Discovery-protocol?
WS-Discovery protocol beschreven als een technische specificatie die een multicast discovery protocol om diensten te vinden op een lokaal netwerk definieert. Het werkt via TCP en UDP-poort 3702 en maakt gebruik van IP multicast-adres 239.255.255.250. De communicatie tussen de knooppunten wordt gedaan met behulp van web services standaarden, zoals SOAP-via-UDP.
Hoewel het protocol is noch dat de gemeenschappelijke noch dat populair, hij is geblokkeerd door ONVIF aangenomen, een “open industriestandaarden forum dat biedt en bevordert gestandaardiseerde interfaces voor een effectieve interoperabiliteit van IP-gebaseerde fysieke beveiliging producten". Onder ONVIF leden zijn grote bedrijven zoals Sony, Bosch, en Axis, die gebruik maken van ONVIF normen in hun producten.
630,000 ONVIF-gebaseerde apparaten met de WS-Discovery-protocol in gevaar
Bovendien, ONVIF is het WS-Discovery protocol voor apparaatdetectie aanbevolen. Om een lang verhaal kort te maken, het protocol is gebruikt in een reeks producten, met inbegrip van IP-camera's, printers, en diverse huishoudelijke apparaten. Om precies te zijn, Binary Edge zoekopdracht op internet blijkt dat er ongeveer 630,000 ONVIF-gebaseerde apparaten met WS-Discovery Protocol.
Er is bewijs dat het protocol wordt nu uitgebuit door dreiging acteurs voor DDoS-aanvallen, ZDNet gemeld. Het is niet de eerste golf van dergelijke aanvallen als onderzoekers ontdekte malafide activiteiten in mei. De huidige aanvallen zijn niet zo groot als goed, met maximaal 40 Gbps en versterkingsfactoren van maximaal 10, maar de potentiële aanval oppervlak alarmerend.
Het grote aantal apparaten die momenteel het blootstellen van de WS-Discovery-poort 3702 op het internet zal zeker leiden tot een nieuwe golf van grootschalige aanvallen, waarschuwden onderzoekers.