A Descoberta de Serviços Web dinâmico (WS-Discovery) protocolo pode ser explorada para lançar ataques DDoS em grande escala, pesquisadores de segurança estão relatando.
Qual é o protocolo WS-Discovery?
O protocolo de descoberta WS é descrito como uma especificação técnica que define um protocolo de descoberta multicast para localizar serviços em uma rede local. Ela opera através da porta TCP e UDP 3702 e utiliza o IP endereço de multicast 239.255.255.250. A comunicação entre nós é feito utilizando padrões de serviços web, tal como SABÃO-sobre-UDP.
Mesmo que o protocolo não é nem tão comum nem que populares, ele foi adotado por ONVIF, a "fórum aberto da indústria que fornece e promove interfaces padronizadas para interoperabilidade eficaz de IP baseada em produtos de segurança física”. Entre ONVIF membros são grandes empresas como Sony, Bosch, e Axis, que utilizam padrões ONVIF em seus produtos.
630,000 dispositivos baseados no ONVIF que executam o protocolo de descoberta WS em risco
além disso, ONVIF recomendou o protocolo WS-Discovery para descoberta de dispositivo. Longa história curta, o protocolo tem sido usado em uma série de produtos, incluindo câmeras IP, impressoras, e vários eletrodomésticos. Para ser mais preciso, uma pesquisa de borda binária revela que há aproximadamente 630,000 Dispositivos baseados em ONVIF executando o protocolo WS-Discovery.
Há evidências de que o protocolo agora está sendo explorado por agentes de ameaça para ataques DDoS, ZDNet relatado. Não é a primeira onda de ataques desse tipo, já que os pesquisadores detectaram atividades maliciosas em maio. Os ataques atuais também não são tão grandes, com um máximo de 40 Gbps e fatores de amplificação de até 10, mas a superfície de ataque potencial é alarmante.
O grande número de dispositivos atualmente expondo a porta WS-Discovery 3702 na internet definitivamente desencadeará uma nova onda de ataques em grande escala, pesquisadores avisaram.