威脅情報專欄|ADDP反射攻擊來襲?NTI已支援相關檢測

綠盟科技發表於2020-07-24

【摘要】

ADDP(Advanced Digi Discovery Protocol)協議基於UDP,用於發現區域網內的Digi ConnectPort X系列產品;該類發現協議通常同時支援組播和單播,加之UDP能夠偽造源IP的緣故,導致暴露在網際網路上的這類服務,極其容易被用作反射攻擊。

【正文】

近年來,越來越多的可造成UDP反射攻擊的協議進入人們的視線(如CoAP、Ubiquiti、WS-Discovery、OpenVPN、某DVR協議)。這些攻擊方式都區別於大家所熟知的DNS、SSDP、NTP、Memcached等反射攻擊型別,給DDoS攻擊防護帶來了一定的挑戰。

2020年6月,以色列網路安全公司JSOF曝光了Treck TCP/IP協議棧的若干0-day漏洞,可能導致全球數億臺裝置受到影響。在對已公佈的白皮書進行分析後,綠盟科技格物實驗室發現,其中的一家受影響的廠商Digi生產的裝置使用ADDP(Advanced Digi Discovery Protocol)進行裝置發現。ADDP使用的組播地址為224.0.5.128,埠2362,但該協議在實現時,也支援單播,加之UDP協議能夠偽造源IP,故存在被用作反射攻擊的風險。

綠盟科技威脅情報中心(NTI)對該攻擊持續監控,已支援對ADDP反射攻擊的相關檢測及測繪資料檢索,可提供最新ADDP暴露資產情報並持續更新。

在NTI上透過特定條件搜尋,可獲得測繪資料列表:

威脅情報專欄|ADDP反射攻擊來襲?NTI已支援相關檢測

綠盟科技格物實驗室採用綠盟科技威脅情報中心(NTI)在2020年6月的一輪完整測繪資料對ADDP服務的暴露情況進行了分析,關鍵發現如下:

1. 全球有5000多個IP開放了ADDP服務,存在被利用進行DDoS攻擊的風險。這些裝置涉及Digi的多款產品,如Connect WAN 3G、ConnectPort WAN VPN、ConnectPort X4、Connect ME4 9210等。

2. 開放ADDP服務的裝置暴露數量最多的五個國家依次是美國、義大利、波蘭、智利和西班牙,美國的佔比達到了43%。

3. ADDP探測報文的長度是14位元組,響應報文長度大多是100多個位元組,平均長度為126位元組,由此可得平均頻寬放大因子為9。

4. ADDP作為一種新的反射攻擊型別,當前暫未引起攻擊者的關注,但其潛在的風險主要有兩個:一是可被用於DDoS攻擊,二是可被用於發現Digi廠商的裝置,後續被用於Ripple20相關的攻擊。

防護建議:

1. 作為安全廠商:

1)  可以在掃描類產品中加入ADDP掃描能力,及時發現客戶網路中存在的安全隱患。

2)  可以在防護類產品中加入對於ADDP的流量檢測能力,及時發現客戶網路中存在的安全威脅。也可以關聯開放ADDP服務的IP的威脅情報,阻斷命中的源IP的連線。

2. 作為裝置開發商:

在對ADDP服務發現報文進行回應時,檢查該報文的源IP是否是多播地址,如果不是多播地址的話,則不做回應。這樣的話,ADDP服務被利用發起反射攻擊的難度將大大增加。

3. 作為運營商:

需遵循BCP38網路入口過濾。

4.作為監管部門:

1)  對於網路中的ADDP威脅進行監控,發現問題進行通報。

2)  推動裝置中ADDP功能的安全評估,如裝置不滿足相關要求,禁止裝置上市等。

5. 作為裝置使用者:

1) 如無需要,關閉裝置的ADDP發現功能。

2) 儘量將開放ADDP服務的裝置部署在區域網中,這樣可以增大裝置被利用的難度。

3) 如果需要將開放ADDP服務的裝置部署在公網上,則在裝置之前部署路由器(利用NAT能力)或防護類安全裝置(如防火牆),控制外部IP對於裝置的訪問。

6. 作為有DDoS防護需求的使用者:

購買具備ADDP反射攻擊防護能力的安全廠商的DDoS防護產品。如已購買,並且產品支援應用層特徵的自定義,可以加入相應的特徵規則。

《ADDP反射攻擊分析》報告詳細內容點選閱讀原文獲取。


(跳轉連結:https://mp.weixin.qq.com/s/X93cgSLNdVC8GREZfgu2cQ )

相關文章