Los ataques DDoS que utilizan el protocolo SSDP aumentan

Escrito por Adrián Crespo
Seguridad
0

Seguro que una amplia mayoría desconocía incluso la existencia de este protocolo. Sin embargo, no es la primera que UPnP muestra signos de debilidad ya que en una ocasión anterior más de 50 millones de dispositivos (sobre todo routers) estaban en peligro por una vulnerabilidad detectada que afectada a este protocolo. En esta ocasión este se ve salpicado pero es uno de los protocolos abarcados el que está siendo utilizado por los hackers, concretamente SSDP.

Para que podamos entender a grandes rasgos cuál es la función de este protocolo, podría decirse que permite que dispositivos se conecten entre sí, como por ejemplo routers, ordenadores, impresoras, consolas de videojuegos o cualquier otro dispositivos que imaginemos.

Los hackers han comenzado a utilizar el protocolo SOAP ( del inglés Simple Access Object Protocol) para realizar peticiones de paquetes a otros equipos. En condiciones normales los equipos a los que se les ha enviado el paquete de sondeo contestan con un paquete pequeño. Sin embargo, los hackers se las han arreglado para provocar que el equipo al que se le ha realizado la “pregunta” devuelva un paquete mucho más grande y redirigir este paquete contra la víctima sobre la que se quiere realizar el ataque de denegación de servicio.

Expertos en seguridad destacan que el número de dispositivos tan elevado y lo variado que puede ser en lo referido al tipo de dispositivos hace que la creación de una actualización no sea tan fácil. Si los hackers utilizasen solo los routers los fabricantes se pondrían a trabajar en actualizaciones, sin embargo una variedad tan amplia de dispositivos hace que este aspecto no sea tan sencillo.

4,35 Gb por segundo y más de 7 millones de paquetes

Después de visualizar algunos ataques se ha podido ver que se han conseguido una transmisión muy elevada y también un gran número de paquetes. Aunque no está confirmado, desde varias fuentes creen que en la actualidad podrían existir más de 4 millones de dispositivos afectados por este problema, y evidentemente su localización resulta muy complicada.

A la hora de realizar el ataques los ciberdelincuentes realizan su actividad en el puerto 1900 UDP. Por lo tanto, si al utilizar un analizador de tráfico de red vemos actividad en ese puerto de forma anormal (mucha más actividad de lo que es normal) tendríamos que tener en cuenta que lo mejor sería bloquearlo para evitar que nuestro equipo sea utilizado para realizar el ataque de denegación de servicio.

Fuente | Coordinación de la Seguridad de la información


Noticias relacionadas