注意——受Ripple20影响的Digi设备可被用于反射攻击

2020-07-21 15:19:59 浏览数 (1)

执行摘要

近年来,越来越多的可造成UDP反射攻击的协议进入人们的视线,如CoAP[1]、Ubiquiti[2]、WS-Discovery[3]、OpenVPN[4]、某DVR协议[5]。这些攻击方式都区别于大家所熟知的DNS、SSDP、NTP、Memcached等反射攻击类型,给DDoS攻击防护带来了一定的挑战。

今年6月,以色列网络安全公司JSOF曝光了Treck TCP/IP协议栈的若干0-day漏洞,可能导致全球数亿台设备受到影响。在对已公布的白皮书进行分析后,我们发现,其中的一家受影响的厂商Digi生产的设备使用ADDP(Advanced Digi Discovery Protocol)进行设备发现。ADDP使用的组播地址为224.0.5.128,端口2362,但该协议在实现时,也支持单播,加之UDP协议能够伪造源IP,故存在被用作反射攻击的风险。

为了了解ADDP反射攻击的潜在规模,我们通过绿盟威胁情报中心(NTI)对暴露在互联网上的ADDP服务进行了测绘。

全球有5000多个IP开放了ADDP服务,存在被利用进行DDoS攻击的风险。这些设备涉及Digi的多款产品,如Connect WAN 3G、ConnectPort WAN VPN、ConnectPort X4、Connect ME4 9210等。

开放ADDP服务的设备暴露数量最多的五个国家依次是美国、意大利、波兰、智利和西班牙,美国的占比达到了43%。

ADDP探测报文的长度是14字节,响应报文长度大多是100多个字节,平均长度为126字节,由此可得平均带宽放大因子为9。

ADDP作为一种新的反射攻击类型,当前暂未引起攻击者的关注,但其潜在的风险主要有两个:一是可被用于DDoS攻击,二是可被用于发现Digi厂商的设备,后续被用于Ripple20相关的攻击。

一、ADDP简介

Ripple20[7]是JSOF[8]研究实验室在TreckInc.开发的广泛使用的低级TCP / IP软件库中发现的一系列零日漏洞,2020年6月,JSOF公布了Ripple20中CVE-2020-11896和CVE-2020-11898的技术白皮书[9],其中CVE-2020-11896包含针对Digi Connect ME 9210的PoC。JSOF公布技术白皮书后,我们对涉及的Digi Connect ME 9210进行了分析,发现除技术白皮书中所述的RCE之外,Digi以太网模组使用的ADDP协议,还存在被用作反射攻击的风险。

Digi International Inc.[10](后简称Digi)是一家成立于1985年的物联网解决方案提供商,其产品线从射频调制解调器到网关等种类齐全。Digi Connect ME是Digi设计的一系列以太网模块,预装了Digi即插即用固件。为实现即插即用的功能,Digi设计了类似SSDP(Simple Service Discovery Protocol)的ADDP(Advanced Digi Discovery Protocol),该协议基于UDP,用于发现局域网内的Digi ConnectPort X系列产品。该类发现协议通常同时支持组播和单播,加之UDP能够伪造源IP的缘故,导致暴露在互联网上的这类服务,极其容易被用作反射攻击。

ADDP使用的组播地址为224.0.5.128,端口2362,ADDP数据帧[11]的总体可以分为四部分,协议头,数据包类型、payload总长度以及payload,一个典型的ADDP设备发现数据包如下所示:

图 1.1 ADDP探测包示例

协议头即为该协议的头部,ADDP采用固定的字符作为协议头,在zmap的UDP扫描插件[12]中,共有三种协议头,分别是DIGI(“0x44 0x49 0x47 0x49”)、DVKT和DGDP。

数据包类型用于区分该数据包的作用,占两个字节:

-0x0001: 设备发现请求

-0x0002: 设备发现响应

-0x0003: 静态网络设计请求

-0x0004: 静态网络设置响应

-0x0005: 重启请求

-0x0006: 重启响应

-0x0007: DHCP网络设置请求

-0x0008: DHCP网络设置回应

payload总长度,占两个字节。

payload即为数据帧的有效负载,通常,ADDP的设备发现数据包,payload长度为6个字节,内容固定为:“0xFF 0xFF 0xFF 0xFF 0xFF 0xFF”,如图 1.1 所示。

与设备发现的数据包不同,设备发现数据包的回应,其payload采用字段类型 负载长度 负载内容的格式,其中,可能出现的字段类型如下:

-0x01:MAC地址

-0x02:IP地址

-0x03:子网掩码

-0x04:网络名称

-0x05:域名

-0x06:硬件类型

-0x07:硬件版本

-0x08:固件

-0x09:结果内容

-0x0a:结果标志

-0x0b:IP网关

-0x0c:设置错误的代码

-0x0d:产品型号

-0x0e:Real Port端口号

-0x0f:DNS IP地址

-0x10:未知字段

-0x11:错误代码

-0x12:串口数量

-0x13:加密的Real Port端口号

-0x1a:设备ID

一个ADDP协议响应报文的例子如下所示,参照上面的介绍,很容易理解其各个字段的含义。对于IP和MAC地址相关字段,我们进行了匿名化处理。

二、ADDP暴露情况分析

为了精确刻画ADDP反射攻击的潜在规模,我们通过绿盟威胁情报中心(NTI)对暴露在互联网上的ADDP服务进行了测绘。

如无特殊说明,本章所提到的数据为全球单轮次测绘数据(2020年6月)。

全球有5000多个IP开放了ADDP服务,存在被利用进行DDoS攻击的风险。

为了避免遗漏,我们分别采用zmap中的三种设备探测报文进行了测绘,由此得到ADDP服务的全球暴露情况,如表 2.1 所示。当协议头为“DGDP”时,并未探测到存活的设备。

表 2.1 ADDP服务全球暴露情况

设备发现报文协议头

zmap插件名称

服务暴露数量

DIGI

digi1_2362.pkt

4868

DVKT

digi2_2362.pkt

896

DGDP

digi3_2362.pkt

0

我们对ADDP服务的banner中的产品型号字段进行了分析,如图 2.1 所示。具体产品对应什么设备感兴趣的读者可以自行去官网检索,这里不再介绍。

图 2.1 开放ADDP服务的产品型号分布情况

开放ADDP服务的设备暴露数量最多的五个国家依次是美国、意大利、波兰、智利和西班牙,美国的占比达到了43%,而我国仅有39台设备暴露在互联网上。

图 2.2 开放ADDP服务的设备国家分布情况

我们对响应报文的长度进行了分析,其长度大多是100多个字节,平均长度为126字节。由此可得平均带宽放大因子(bandwidth amplification factor, BAF)0[6]为9。

三、小结

本文首先对ADDP进行了介绍,之后对其在互联网上的暴露情况进行了分析。ADDP作为一种新的反射攻击类型,当前暂未引起攻击者的关注,但其潜在的风险主要有两个:一是可被用于DDoS攻击,二是可被用于发现Digi厂商的设备,后续被用于Ripple20相关的攻击。

防护建议:

作为安全厂商:

(1)可以在扫描类产品中加入ADDP扫描能力,及时发现客户网络中存在的安全隐患。

(2)可以在防护类产品中加入对于ADDP的流量检测能力,及时发现客户网络中存在的安全威胁。也可以关联开放ADDP服务的IP的威胁情报,阻断命中的源IP的连接。

作为设备开发商,在对ADDP服务发现报文进行回应时,检查该报文的源IP是否是多播地址,如果不是多播地址的话,则不做回应。这样的话,ADDP服务被利用发起反射攻击的难度将大大增加。

作为电信运营商,需遵循BCP38网络入口过滤。

作为监管部门:

(1)对于网络中的ADDP威胁进行监控,发现问题进行通报。

(2)推动设备中ADDP功能的安全评估,如设备不满足相关要求,禁止设备上市等。

作为设备用户:

(1)如无需要,关闭设备的ADDP发现功能。

(2)尽量将开放ADDP服务的设备部署在局域网中,这样可以增大设备被利用的难度。

(3)如果需要将开放ADDP服务的设备部署在公网上,则在设备之前部署路由器(利用NAT能力)或防护类安全设备(如防火墙),控制外部IP对于设备的访问。

作为有DDoS防护需求的用户,购买具备ADDP反射攻击防护能力的安全厂商的DDoS防护产品。如已购买,并且产品支持应用层特征的自定义,可以加入相应的特征规则。

参考文献

[1]CoAP Attacks In The Wild, https://www.netscout.com/blog/asert/coap-attacks-wild

[2]Over 485,000 Ubiquiti devices vulnerable to new attack, https://www.zdnet.com/article/over-485000-ubiquiti-devices-vulnerable-to-new-attack/

[3]基于ONVIF协议的物联网设备参与DDoS反射攻击, https://anquan.baidu.com/article/623

[4]OpenVPN服务被利用于UDP反射放大DDoS攻击, https://www.freebuf.com/vuls/215171.html

[5]现网发现新型DVR UDP反射攻击手法记实, https://mp.weixin.qq.com/s/mCF3HiDDK1QdjvgOBGlaDA

[6]Amplification Hell: Revisiting Network Protocols for DDoS Abuse, https://www.ndss-symposium.org/ndss2014/programme/amplification-hell-revisiting-network-protocols-ddos-abuse/

[7]Ripple20, https://www.jsof-tech.com/ripple20/

[8]JSOF, https://www.jsof-tech.com/

[9]JSOF_Ripple20_Technical_Whitepaper_June20, https://www.jsof-tech.com/wp-content/uploads/2020/06/JSOF_Ripple20_Technical_Whitepaper_June20.pdf

[10]Digi International Inc., https://www.digi.com/about-digi

[11]addp, https://github.com/zdavkeos/addp/blob/master/addp.py

[12]digi pkt, https://github.com/zmap/zmap/blob/master/examples/udp-probes/digi1_2362.pkt


0放大因子我们采用NDSS 2014的论文Amplification Hell: Revisiting Network Protocols for DDoS Abuse上对于带宽放大因子的定义,不包含UDP的报文头。

关于格物实验室

格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向,智能设备为中心的漏洞挖掘、研究与安全分析,关注物联网资产、漏洞、威胁分析。目前已发布多篇研究报告,包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《物联网安全年报2019》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台,定位运营商行业物联网卡的风险管控;推出固件安全检测平台,以便快速发现设备中可能存在的漏洞,以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。

内容编辑: 张星 魏佩儒 责任编辑; 王星凯

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

0 人点赞