upnp-logoOnderzoekers van Akamai hebben een rapport opgesteld over het misbruiken van kwetsbare UPnP-apparaten door een 'reflection & amplification Distributed Denial-of-Service (DDoS)' aanval.

De onderzoekers zien een toename van reflection & amplification DDoS-aanvallen op het misbruiken van Internet of Things-apparaten (zoals SOHO-toestellen, routers, media servers, webcams, smart-tv's en printers).  Het onderzoek komt overeen met de bevindingen van het recent verschenen rapport van Arbor Networks (Q3 2014).

In het rapport wordt uitgelegd dat het het SSDP-protocol misbruikt door hackers gewoon gebruikt wordt  om IoS apparaten te laten communiceren en om activiteiten te coördineren. De IoT apparaten die aan het internet zijn verbonden worden door hackers misbruikt om groot opgezette aanvallen tegen 'enterprise' doelen te coördineren.

"PLXsert heeft het gebruik van een nieuwe reflection & amplification distributed denial of service (DDoS) aanval ontdekt dat misbruik maakt van de Simple Service Discovery Protocol (SSDP). Dit protocol is een onderdeel van de Universal Plug and Play (UPnP) protocol standaard. SSDP staaat standaard ingeschakeld op miljoenen thuis- en kantoor apparaten ", stelt het rapport van Akamai .

De onderzoekers geven aan dat er meer dan 4,1 miljoen UPnP-apparaten die potentieel kwetsbaar zijn voor deze cyberaanvallen. 

"Hackers gebruiken deze nieuwe aanvalsvector om grootschalige DDoS-aanvallen uit te voeren. De Prolexic Security Engineering & Response Team (PLXsert) nam de de eerste aanvallen met uPnP appparaten waar in juli, waarna ze 'gewoon' zijn geworden, "zei Stuart Scholly, senior vice president en general manager, Beveiliging Business Unit, Akamai. Het aantal UPnP-apparaten kwetsbaar is is enorm, en velen van hen zijn home-based Internet-apparaten die moeilijk te patchen zijn. Om deze bedrijging de kop in te drukken zal er actie van de firmware, applicatie en hardware leveranciers moeten komen!"

Er wordt geschat dat bijna 38 procent van de 11 miljoen apparaten wereldwijd in gevaar is. 

"The Simple Object Access Protocol (SOAP) wordt gebruikt om de controle berichten te leveren aan UPnP-apparaten en geven ook weer informatie terug. Aanvallers hebben ontdekt dat SOAP-verzoeken kunnen worden aangepast om een antwoord door te sturen naar het doelwit. Door het gebruik van een veel apparaten, kunnen aanvallers grote hoeveelheden (DDOS) verkeer  op het geselecteerde doel richten", aldus het rapport.

Hoe werkt nu een DDoS-aanval tegen UPnP-apparaten?

  • Aanvallers sturen een SOAP verzoek (M-SEARCH) naar het een uPnP apparaat. Het M-SEARCH pakket identificeert kwetsbare apparaten. Dit proces kan worden geautomatiseerd met behulp van op maat gemaakte scripts.
  • Het apparaat reageert met de HTTP-locatie van XML description file.
  • Nu alle kwetsbare UPnP-apparaten zijn geïdentificeerd, zal de aanvaller kwaadaardige verzoeken
  • 'spoofing' het doel adres waardoor er een 'reflected & amplified' reactie ontstaat.
  • Het volume van het verkeer dat wordt gegenereerd hangt af van vele factoren, waaronder de grootte van het XML bestand, het besturingssysteem en de UUID.
  • Volgens PLXsert is de versterkingsfactor van de aanslagen is ongeveer 33 procent.

De analyse van de geografische spreiding van kwetsbare UPnP-apparaten blijkt dat Korea het land met het grootste aantal eenheden is, gevolgd door de VS, Canada, China, Argentinië en Japan.

vulnerable UPnP devices

Onlangs is er door de onderzoekers ook een nieuw malware-kit 'Spike' ontdekt. Deze wordt door hackers gebruikt om DDoS-aanvallen via zowel PC's als IoT apparaten uit te voeren.

"Deze aanvallen zijn een voorbeeld van hoe vloeiend en dynamisch de DDoS misdaad ecosysteem kan zijn," vertelt Scholly. "Hackers identificeren, ontwikkelen en integreren nieuwe middelen en aanvalsvectoren. Het is voorspelbaar dat ze zich zal ontwikkelen, verfijnen en geld gaan verdienen met deze UPnP aanval in de nabije toekomst. "

Het volledige rapport is hier te downloaden.