Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Buscan amplificar ataques DDoS con Portmap basado en DP
Level 3 ha descubierto un nuevo vector para ataques de reflexión DDoS: Portmapper o Portmap. El servicio Portmap redirecciona al cliente al puerto indicado para que pueda comunicarse con el servicio Remote Procedure Call (RPC).
Como varios servicios basados en UDP (DNS,NTP), Portmapper está siendo usado por los atacantes para esconder el origen del ataque y amplificar su volumen.
"Portmapper puede funcionar con el puerto 111 en TCP o UDP, pero la solicitud falsa necesita UDP para ampliar su respuesta", explicaron investigadores de Level 3.
Esto se debe a que UDP es un protocolo no orientado a conexión que no valida el origen de las direcciones IP y el atacante puede fácilmente falsificar una solicitud para incluir una dirección IP objetivo.
"Recientemente se ha encontrado que con ciertos protocolos UDP se tienen respuestas particulares a ciertos comandos que son mucho más largos que la solicitud inicial," advirtió el US-CERT a principios de este año y proporcionó una lista de protocolos UDP que han sido identificados como potenciales vectores de ataque de este tipo (Portmap fue incluido en la lista).
"Cuando un cliente está buscando un servicio apropiado, el Portmapper es requerido para ayudar con la búsqueda. Esto significa que, cuando se consulta, el tamaño de la respuesta varía ampliamente dependiendo de qué servicios RPC (Remote Procedure Call) están operado en el host," señalaron los investigadores de Level 3.
El factor de amplificación puede variar, pero de acuerdo a las mediciones, el promedio de longitud de respuesta es mayor a 18 veces el tamaño de la solicitud.
"El tráfico global de Portmap creció con un factor de 22x en los últimos 7 días de junio", añadieron. Aunque es menos usado que otros servicios UDP, no hay duda que los atacantes seguirán haciendo mal uso del servicio hasta que alguien los detenga.
Se recomienda a todos los administradores y organizaciones considerar si deben continuar manteniendo Portmap disponible en sistemas expuestos a Internet o mejor deshabilitarlo. Así mismo, deben de evaluar lo mismo para un número de servicios RPC en clientes vulnerables que también están disponibles en puertos UDP (NSF, NIS, etc.).
