Noll
RFC-7252, även känd som Begränsas Application Protocol (CoAP), är på väg att bli en av de mest missbrukade protokoll i form av DDoS attacker, säkerhet forskare har berättat ZDNet.
Om läsarna inte känner igen namnet på det protokoll som är för det nya-som är formellt godkänd först nyligen, i och med 2014, och i stort sett oanvänd tills i år.
Vad är CoAP?
CoAP var utformad som en lätt maskin-till-maskin (M2M) protokoll som kan köras på smarta enheter där minne och it-resurser är knappa.
I en mycket förenklad förklaring, CoAP är mycket liknande till HTTP, men i stället för att arbeta på toppen av TCP-paket, det fungerar på toppen av UDP, en lättare överföring av data format som skapats som en TCP alternativ.
Precis som HTTP används för transport av data och kommandon (GET, POST, ANSLUTA, etc.) mellan en klient och en server, CoAP också gör samma multicast och kommandot överföring funktioner, men utan att behöva samma mängd resurser, vilket gör den idealisk för dagens stigande våg av Internet of Things (IoT) – enheter.
Men precis som alla andra UDP-baserade protokoll, CoAP är till sin natur känsliga för IP-adress spoofing och paket-förstärkning, två viktiga faktorer som gör att förstärkningen av en DDoS-attack.
En angripare kan skicka en liten UDP-paket till en CoAP klient (en IoT-enheten), och kunden skulle svara med en mycket större paket. I världen av DDoS-attacker, är storleken på detta paket svar är känd som en förstärkning faktor, och för CoAP, detta kan vara allt från 10 till 50, beroende på den initiala paket och den resulterande svar (och protokoll analys du läser).
Dessutom, eftersom CoAP är utsatta för IP-spoofing, angripare kan ersätta “avsändarens IP-adress” med IP-adressen för ett offer att de vill lansera en DDoS-attack mot, och att offret skulle få den trubbiga kraft av det förstärkta CoAP trafik.
De människor som utformat CoAP extra säkerhetsfunktioner för att förhindra dessa typer av frågor, men som Cloudflare påpekade i ett blogginlägg förra året, om enheten beslutsfattare att genomföra dessa CoAP säkerhetsfunktioner, CoAP protokollet är inte så lätt längre, motverkar alla fördelar med en lätt protokoll.
Det är därför de flesta av dagens CoAP implementationer avstå från att använda hardened security lägen för en “NoSec” security mode som håller protokollet ljus, men också utsatta för DDoS-missbruk.
Ökningen av CoAP
Men eftersom CoAP var ett nytt protokoll, ett par hundra sårbara enheter här och det har aldrig varit ett problem, även om alla var som körs i NoSec lägen.
Tyvärr, började saker att förändras. Enligt ett föredrag som Dennis Rand, grundare av eCrimeLabs, gav vid RVAsec säkerhet konferens under sommaren (19:40 mark), antalet CoAP enheter har exploderat sedan November 2017.
Rand säger CoAP enhet räknas hoppade från en ödmjuk 6 500 i November 2017 till över 26 000 nästa månad. Det blev ännu värre i och med 2018, på grund av Maj som det var på 278,000 enheter, en siffra som idag är svävar på 580,000-600 000 kr, enligt Shodan, en sökmotor för Internet-anslutna enheter.
Rand föreslår anledningen till denna explosion är CoAP användning som en del av QLC-Kedjan (tidigare känd som QLink), ett projekt som syftar till att bygga en decentraliserad blockchain-baserade mobila nät med hjälp av wi-fi trådlöst Lan noder som finns i hela Kina.
Men denna plötsliga ökning i lätt tillgängliga och dåligt säkrad CoAP kunder har inte gått obemärkt förbi. Under de senaste veckorna, den första DDoS-attacker som utförs via CoAP har börjat lämna sina spår.
En säkerhetsforskare som sysslar med DDoS-attacker, men som inte kunde dela hans namn på grund av anställning avtal berättade ZDNet att CoAP attacker har hänt vid enstaka tillfällen under de senaste månaderna, med ökande frekvens, nå 55Gbps i genomsnitt, och med största klocka på 320Gbps.
Den 55Gbps genomsnittligt är av en storleksordning som överlägsen den genomsnittliga storleken av en vanlig DDoS-attack, vilket är 4,6 Gbps, enligt DDoS begränsning fast Link11.
Av 580,000 CoAP enheter som för närvarande finns på Shodan idag, samma forskare berättade ZDNet att ungefär 330,000 kan vara (ab)används för att förmedla och förstärka DDoS-attacker med en förstärkning faktor på upp till 46 gånger.
Av attacker forskaren har spelat in, och de flesta har riktade olika online-tjänster i Kina, men även en del MMORPGs plattformar utanför Kina.
Det är oklart om CoAP har lagts till som en attack möjlighet att DDoS-för-hyra plattformar, men när det väl händer, sådana attacker kommer att öka ännu mer.
Dessutom, CoAP använder i den verkliga världen har exploderat i år, men var i huvudsak begränsad till Kina. Är det säkert att anta att en gång CoAP har redan blivit populär i Kina, dagens viktigaste tillverknings-hub, sårbara enheter kommer också att sprida sig till andra länder som enheter i den kommunistiska staten säljs utomlands.
Vi har blivit varnade
Precis som med fallet med de flesta protokoll som tagits fram med sakernas internet i åtanke, frågan verkar inte som att bo i utformning av protokoll, som innehåller vissa grundläggande säkerhetsfunktioner, men i hur enheten beslutsfattare konfigurera och frakt CoAP i live-enheter.
Tyvärr, detta är inte något nytt. Många protokoll är ofta felaktigt konfigurerad, av misstag eller avsiktligt, genom enheten beslutsfattare, vilket ofta väljer interoperabilitet och användarvänlighet över säkerheten.
Men det som kommer att irritera en del säkerhetsforskare är att vissa förutspått att detta skulle hända redan innan CoAP var godkända som officiella Internet-standard, sätt tillbaka i 2013.
Detta var en helt onödig katastrof om bara länder runt om i världen hade strängare regler om IoT enheter och deras säkerhetsdetaljer.
På en sida notera –och av en tillfällighet– som CoAP DDoS-attacker som nu börjar att få uppmärksamhet, Federico Maggi, en säkerhetsforskare med Trend Micro, har också tagit en titt på CoAP är DDoS-amplifiering kapacitet, forskning som han är inställd på att presentera på Black Hat security conference den här veckan i London.
Samma forskning har också tittat på en kollega M2M-protokollet, API, även känd för att vara en enda röra, och där forskaren har identifierat flera sårbarheter.
Mer säkerhet nyheter:
Intel Cpuer påverkas av nya PortSmash sida-kanal sårbarhetIntel träffar representation mål i den AMERIKANSKA arbetskraften CNETIntel Peka bedrifter: Hur du skyddar dig TechRepublicRowhammer attacker kan nu bypass-ECC-minne skyddNya online-tjänsten kommer att hacka skrivare att spy ut spamAMERIKANSKA Senaten datorer kommer att använda diskkrypteringKubernetes’ första stora säkerhetshål upptäcktHackare är öppna SMB hamnar på routrar så att de kan infektera Datorer med NSA malware
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0