mDNS La vulnerabilidad mDNS es un problema muy común en servidores Linux que mantienen el servicio de avahi-daemon (mDNS) expuesto a internet corriendo en el puerto 5353/UDP(DNS servidor y por qué se levanta y por qué no debe ser levantado externamente y uso de red AMPLIFICACION ) Este servicio al ser mal utilizado se pueden realizar ataques de negación de servicios por inundación de paquetes, usando la amplificación de peticiones a terceros consumiendo así nuestro ancho de banda, de la misma manera puede ser usado para la obtención de información de nuestro equipo. INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Campo Descripción
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
timestamp Fecha y hora de reporte de Shadowserver en UTC+0
ip Dirección IP del host involucrado
port Puerto desde donde se obtiene la respuesta SSL
hostname DNS reverso del host involucrado
tag Etiqueta de reporte (ssl)
handshake El handshake de mayor nivel que puede ser negociado (TLSv1.2, TLSv1.1, TLSv1.0, SSLv3)
asn ASN donde se encuentra el host involucrado
geo País donde se encuentra el host involucrado
region Provincia donde se encuentra el host involucrado
city Ciudad donde se encuentra el host involucrado
naics Código de Sistema de Clasificación Industrial de,América del Norte
sic Código Estándar de Clasificación Industrial
mdns_name El nombre trivial .local que a veces se devuelve en respuesta a la detección inicial de _services._dns-sd._udp.local. Este campo está a menudo vacío.
mdns_ipv4 La (s) dirección (es) IPv4 que a veces se devuelven en respuesta a la sonda inicial. Este campo está a menudo vacío.
mdns_ipv6 La (s) dirección (es) IPv6 que a veces se devuelven en respuesta a la sonda inicial. Este campo está a menudo vacío.
services Los servicios que el host está ejecutando en respuesta a la consulta de la lista de información con "_services._dns-sd._udp.local"
workstation_name El nombre mdns que se devuelve en respuesta a la consulta mDNS de seguimiento para "_workstation._tcp.local"
workstation_ipv4 Las direcciones IPv4 que se devuelven en respuesta a la consulta mDNS de seguimiento para "_workstation._tcp.local"
workstation_ipv6 Las direcciones IPv6 que se devuelven en respuesta a la consulta mDNS de seguimiento para "_workstation._tcp.local"
workstation_info Información sobre el host que respondió a la consulta de "_workstation._tcp.local". Puede contener nombres, direcciones MAC, etc.
http_name El nombre mdns que se devuelve en respuesta a la consulta mDNS de seguimiento para "_http._tcp.local".
http_ipv4 Las direcciones IPv4 que se devuelven en respuesta a la consulta de mDNS de seguimiento para "_http.ttcp.local"
http_ipv6 Las direcciones IPv6 que se devuelven en respuesta a la consulta mDNS de seguimiento para "_http.ttp.local"
http_ptr Contiene información que parece un nombre trivial y cadenas _local de mdns.
http_info Más información sobre el dispositivo http es respuesta a la consulta de "_http._tcp.local".
http_target Nombre del servidor HTTP. Por lo general, sólo el contenido del campo http_name con un ".0"
http_port El puerto en el que parece estar escuchando el servidor http.
Detección En caso de requerir verificar esta vulnerabilidad se puede ejecutar el comando: “nmap IP -sU -p 5353”, en donde:
Comando/Argumentos Explicaciones
nmap Comando para ejecución de Netcat
IP La dirección IP del sistema a verificar
-sU Determina UDP
-p Selecciona el puerto
5353 Puerto,No. 5353 por,el cual,se enviara,la respuesta,del servicio
Ejemplo nmap 181.199.xxx.xxxx -sU -p 5353 El resultado de la ejecución de este comando es: Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2017-01-05 10:10 ECT Nmap scan report for mail.ecuacier.org (181.199.73.104) Host is up (0.0031s latency). PORT STATE SERVICE 5353/udp open zeroconf Nmap done: 1 IP address (1 host up) scanned in 0.55 seconds Lo cual indica que la dirección 181.199.xxx.xxxx tiene habilitado el servicio mDNS y que el mismo puede ser usado sin restricciones. Medidas de corrección recomendadas. Sobre Linux ejecutar el comando “service avahi-daemon stop” “chkconfig avahi-daemon off” En versiones más actuales ejecutar “systemctl stop avahi-daemon” “systemctl disable avahi-daemon” Configurar el firewall para bloquear el tráfico de paquetes TCP y UDP hacia el puerto 5353. Enlaces de interés: https://qotdscan.shadowserver.org/ https://csirt.cedia.org.ec/how-to/instalacion/ataques-de-amplificacion-basados-en-udp/mdns/ Links de descarga:
mDNS - Descripción
MD5: 513c0572665ee200424ac1e01eac8d9e
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT