SSDP saldırılarında yeni yöntem

Uluslararası siber güvenlik kuruluşu Arbor, SSDP’yi hedef alan saldırılara ilişkin yeni bir suiistimal yöntemini açığa çıkardı. Buna göre, UDP paketlerinin ortaya koyduğu yoğun trafik karşısında geçici bir kaynak ve hedef portuna sahip olmaları saldırıların etkisini azaltmayı, özellikle SSDP saldırıları açısından daha da zorlaştırıyor. Bu durum, açık kaynak kütüphanesi Libupnp CPE cihazlarının geniş kullanımından da kaynaklanabiliyor. Önceki DDoS saldırılarından elde edilen kanıtlar, saldırganların bu davranışın farkında olduğunu ve saldırganlıklarının etkinliğine dayalı olarak bu mağdurların bir havuzu seçebileceğini gösteriyor. Bu saldırıları azaltmak için etkin siber güvenlik çözümlerinin kullanılması kaçınılmaz bir hal alırken, SSDP yanıtlarının ve ilk olmayan parçaların sesini filtrelemek için paket içeriğinin incelenmesi de gerekiyor.

Konuyla ilgili olarak yayınlanan rapordan bazı satır başlıkları şöyle:

• SSDP, yansıma / büyütme saldırıları için yıllardır kötüye kullanılmaktadır. Arbor tarafından ilk kez 2015 yılında tespit edilen saldırı, geçici kaynak limanlardan SSDP trafiği kullanan saldırılar oldu.
• Geçici portlar kullanan SSDP kırınım saldırıları, saf port filtreleme azaltmalarını yenebilir.
• Şaşırtıcı bir şekilde, yaklaşık 5 milyon SSDP sunucusunun çoğunluğuna kamuya açık İnternet üzerinden ulaşılabilir.
• SSDP’yi hedef alan saldırılar genelde açık kaynak kodlu kitaplık Libupnp’nin kullanımından CPE cihazlarının çeşitliliğinden kaynaklanıyor.
• SSDP kırınım saldırılarına karşı savunma, mevcut siber güvenlik önlem paketinin kapsamının yeniden gözden geçirilmesini zorunlu kılıyor.

Raporun tamamını okumak için buraya tıklayabilirsiniz.