Open SSDP (Simple Service Discovery Protocol) INTRODUCCIÓN SSDP es un protocolo que sirve para la búsqueda de dispositivos UPnP en una red. Utiliza UDP en unicast o multicast en el puerto 1900 para anunciar los servicios de un dispositivo. Solo la información más importante acerca el dispositivo y el servicio ofrecido está contenido en los mensajes intercambiados. SSDP permite que los dispositivos conectados a una red descubran ciertos servicios contactables como impresoras y servidores, también permite que otros dispositivos en la red detecten nuevos nodos. Ciertos protocolos UDP tienen respuestas a ciertos comandos que son mucho más grandes que la petición inicial. Donde un solo paquete puede generar decenas o cientos de veces el ancho de banda en su respuesta (ataque de amplificación). Algunos protocolos UDP, y sus factores de amplificación de ancho de banda (BAF), que han sido identificados como posibles vectores de ataque se enumeran a continuación:
Protocolos UDP Bandwidth Amplification Factor
DNS 28 a 54
NTP 556.9
SNMPv2 6.3
NetBIOS 3.8
SSDP 30.8
CharGEN 358.8
QOTD 140.3
BitTorrent 3.8
Kad 16.3
Quake Network Protocol 63.9
Steam Protocol 5.5
Fuente: https://www.us-cert.gov/ncas/alerts/TA14-017A
RIESGO UDP, es un protocolo no orientado a conexión que no valida las direcciones IP de origen, a menos que el protocolo de capa de aplicación utilice mecanismos de inicio de sesión. Cuando el paquete UDP tiene la dirección IP de origen falsificada (victima), el servidor responde a la víctima, creando un ataque de Denegación reflejada de servicio (RDoS). Un ataque DRDOS (Distributed Reflective Denial of Service) es una forma de ataque DDoS (Distributed Denial of Service) que se basa en el uso de servidores UDP de acceso público y en BAF, para congestionar a un sistema víctima con tráfico UDP. El atacante suplanta la IP de la víctima y envía muchas solicitudes al servidor, la respuesta de CHARGEN van a ser mayores que las solicitudes, quien las recibe va a ser la víctima y no el atacante, la victima recibe inundaciones con tráfico no deseado, ataque DDoS. DETECCIÓN El reporte de "Open SSDP” se basa en peticiones UDP al puerto 1900 de servidores con direcciones IPv4, si SSDP está habilitado a internet como respuesta se verá información SSDP. La comprobación se realiza usando los siguientes comandos en Linux: Ventana 1 sudo tcpdump -i any -n -Ss 0 -Xx host [Ip] Ventana perl -e 'print "M-SEARCH * HTTP/1.1\r\nHost:239.255.255.250:1900\r\nST:upnp:rootdevice\r\nMan:\"ssdp:discover\"\r\nMX:3\r\n\r\n"' > /dev/udp/[Ip]/1900 Si SSDP está expuesto a internet en la ventana 1, se recibirá información del dispositivo al cual se realizó la consulta SSDP. INFORMACIÓN DE LOS CAMPOS DEL REPORTE:
Campo Descripción
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
timestamp Fecha y hora de comprobación en UTC+0
ip Dirección IP del host
protocol Protocolo por el que ingresó la respuesta (UDP )
port Puerto desde donde se obtiene la respuesta SSDP
hostname DNS reverso del host
tag Siempre será SSDP
header La cabecera HTTPU (HTTP sobre UDP) que fue recibida
asn ASN de la red donde se encuentra el host
geo País donde se encuentra el host
region Estado / Provincia / Región donde se encuentra el host
city Ciudad donde se encuentra el host
systime Tiempo GMT cuando la respuesta fue creada
cache_control cache-control - Cuanto espero para la comunicación
location URL donde el servicio XML está localizado
server Información del host que soporta UDAP
search_target Valor objetivo buscado (ST)
unique_service_name Campo USN que contiene compilación de uuid:uuid_of_Host_device::ST_of_response
ACCIONES RECOMENDADAS Verificación de la IP de origen Rechazar cualquier tráfico UDP con direcciones falsificadas (spoofed). El IETF publicó como un ISP puede filtrar el tráfico de red para rechazar los paquetes con direcciones de origen no accesibles a través de la ruta del paquete, que hacen que el dispositivo de enrutamiento evalúe si es posible llegar a la dirección IP de origen del paquete a través de la interfaz que transmitió el paquete, si no es posible es probable que el paquete tenga una dirección IP de origen falso. Catalogación de tráfico (Traffic Shaping) Limitar respuestas a las peticiones UDP, requiere de pruebas para descubrir el límite óptimo que no interfiera con el tráfico legítimo. La IETF describe algunos métodos en las RFCs 2475 y 3260 para controlar el tráfico, actualmente muchos dispositivos de red ofrecen estas funciones en su software. Enlaces de interés: https://chargenscan.shadowserver.org/ https://tools.ietf.org/html/bcp38 https://tools.ietf.org/html/bcp84 https://www.us-cert.gov/ncas/alerts/TA14-017A Links de descarga:
SSDP - Descripción
MD5: 95b6e2e7fd9176403edeae0e005a9c8e
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT