RSA作為全球規模最大的網路安全行業會議,迄今已舉辦30屆,一直著眼於推動全球網路安全界的共享、創新與進步。2021年RSA大會,綠盟科技脫穎而出,在物聯網安全論壇發表題為《物聯網中基於UDP的DDoS新型反射攻擊研究》(Research on New Vectors of UDP-Based DDoS Amplification Attacks of IoT,[SAT-M19])的主題演講,這是中國安全廠商首次登上RSAC大會的主題演講舞臺。綠盟科技創新中心總監劉文懋博士代表綠盟科技的物聯網安全研究團隊進行了主題演講。
下面,綠盟君與大家一起來學習綠盟科技在RSA2021大會上分享精華:
1. 全球物聯網資產暴露情況
隨著越來越多的物聯網裝置接入網際網路,物聯網聯網數每天都在增加。透過對網際網路上裝置進行掃描,我們發現全球超過70000個開放WS-Discovery、OpenVPN和CoAP協議的物聯網服務。
不僅安全廠商可以發現這些物聯網暴露資產,攻擊者也能夠發現這些資產。透過掃描器、殭屍網路或任何可以使用的工具發現物聯網資產後,這些資產會容易遭到攻擊,以及被利用來進行發起攻擊。
2. 美國是遭受放大反射DDoS攻擊影響最大的國家
透過物聯網蜜罐捕獲和收集受害者的IP地址,在計算目標IP地址的地理位置後,可以看到美國受放大反射DDoS攻擊的影響最大。
無論是勒索軟體還是DDoS攻擊,都可以作為一種黑產服務,此前已經在暗網上出現明碼標價提供租用DDoS服務,而暴露的脆弱物聯網裝置成為了黑產潛在的攻擊武器。考慮到美國龐大的商業和IT產業,它成為了網路犯罪的最大目標。
3. WS-Discovery協議介紹
WS-Discovery是基於UDP的、用於Web服務發現的單播協議。其工作原理是客戶端傳送UDP探測訊息搜尋服務,然後等待應答。該協議具體被濫用的情況是:攻擊者傳送一個3位元組的請求:3c、aa、3e,並攜帶一個欺騙的源地址,服務會回覆一個1590位元組的響應。
這裡使用了BAF(bandwidth amplification factor)頻寬放大系統的概念,最早在2014年NDSS的一篇論文《Amplification Hell: Revisiting Network Protocols for DDoS Abuse》中提到的。為了計算BAF,可以將有效負載傳送給使用真實源地址公開的所有服務,驗證獲得的響應結果資料。經過測試,傳送的請求的長度3位元組時,收到的響應的平均長度是1330,計算出BAF數值是443。利用該協議漏洞,透過WS-Discovery可以產生比請求流量大400多倍以上的惡意流量。
4. ADDP幫助攻擊者找到存在Ripple20漏洞的裝置
ADDP是高階裝置發現協議(Advanced Device Discovery Protocol),是Digi International公司開發的基於UDP的多播協議。藉助ADDP,無論網路如何配置,裝置都可以在本地網路上發現其他裝置。經過全網掃描測試,我們傳送的請求的長度是14位元組,而收到的響應的平均長度是141.7位元組,對應的BAF是10.1。
事實上,ADDP被許多數碼網路裝置使用,大量這些裝置可能存在Ripple20漏洞。因而,攻擊者可以透過發現暴露的ADDP服務,再驗證Ripple20漏洞,則可以發起一些攻擊。
除了WS-Discovery、ADDP之外,報告還分析了OpenVPN協議的脆弱性,此外綠盟科技在2018、2019和2020年釋出的《物聯網安全年報》中分析了SSDP、DHDiscover、Ubiquiti等協議,這些物聯網協議都存在相似的脆弱性:基於UDP、支援單播、響應遠大於請求長度,因而容易被利用發動DDoS攻擊。事實上,在2017年後,利用物聯網協議發動DDoS攻擊儼然成為了攻擊者的重要選擇。
5. 一些建議和觀點
給物聯網廠商建議:
首先設定首席安全官,組建安全團隊。其次在設計環節,預設禁用服務/裝置發現功能,非多播不響應,非內網不響應。最後在運營環節,建立應急響應流程並及時釋出安全補丁。
給終端使用者和機構的建議:
識別自有的物聯網裝置,檢查配置、訪問控制策略;持續地使用網路空間測繪技術監控暴露資產;構建識別-評估-治理的安全運營閉環,將物聯網安全融入到統一的安全運營體系內。
給物聯網客戶的解決方案:
關注城市、企業物聯網安全隱患, 綜合展示物聯網各垂直領域風險態勢,各地區、部門威脅情況,使用綠盟物聯網保護傘解決方案,透過終端SDK、韌體檢測、准入閘道器、物聯卡分析、物聯網安全測評等多個系統的資料,支撐物聯網安全態勢。
未來一段時間內,更多物聯網協議和裝置的漏洞會不斷出現,綠盟科技透過創新中心、格物實驗室、物聯網安全產品部的聯合,起到了研、產、用的結合,透過物聯網保護傘解決方案,為廣大物聯網安全場景客戶提供保駕護航。
綠盟科技長期致力於物聯網安全研究,在物聯網sdk、車聯網安全等方面取得了顯著的研究成果。
綠盟科技車路協同網路安全技術方案, 著眼於規模化車路協同應用,採用了車載可信級安全SDK+路側智慧安全閘道器+安全運營平臺端到端的安全聯動架構模式,構建監測、檢測、預警、防禦、響應與應急處置安全能力,全面覆蓋感知側、傳輸側、平臺/應用側防護場景,為智慧交通領域的網路安全保駕護航。
透過車聯網終端及平臺探針部署、威脅情報採集等,收集車路協同通訊網內安全資料資訊,並基於大資料關聯分析處理,形成了主動探測、被動誘捕、流量分析、僵木蠕、DDoS攻擊、APT檢測等安全監測、檢測、預警、防禦、響應與應急處置安全能力,結合安全諮詢、滲透測試、全生命週期安全風控等安全服務,構建車路協同安全運營體系;從方案價值看,能夠滿足車路協同安全合規及新基建網路安全建設安全迫切需求,進一步保障整個車路協同應用安全、可控、健康發展。
點選“RSA演講PPT”,即可下載觀看劉文懋博士演講膠片。