IoT装置UPnP协定可让骇客发动新型态DDoS攻击一旦发生难以缓解

安全服务公司Imperva指出，物联网装置UPnP协定的特定问题可能让骇客用它来发动新型态分散式阻断服务攻击（DDoS），绕过一般侦查及缓解机制。安全公司相信此类攻击已经在发生中。

这项新型态攻击利用的是已广为人知，但仍然未解决的UPnP（Universal Plug and Play）协定漏洞攻击。UPnP是执行于UDP port 1900埠及TCP埠，用于局域网络上邻近物联网装置寻找与控制的网络协定。研究人员指出，UPnP的缺点在于它缺少流量验证机制，使得拙劣的预设可能导致连网装置遭远端攻击者存取，此外UPnP也存在远端程式码攻击漏洞。

研究人员并指出，像路由器之类的连网装置设定理应区分来自内、外部IP流量，但实际上很少路由器验证两者流量，而遵守连接埠转送（port forwarding）的规则。一旦攻击者开采路由器漏洞而修改传输埠对照表（port mapping table），就能让该装置成为一台代理服务器，达到流量转送，同时隐藏原始来源IP的目的。这个手法即为近年流行的UPnProxy攻击。

UPnProxy漏洞攻击原本主要用作低调的进阶持续性渗透（APT）攻击，但Imperva相信它也可用来发动大规模分散式阻断服务（DDoS）攻击。该公司在4月间发现针对SSDP（Simple Service Discovery Protocol）僵尸网络攻击，之后成功复制出一起结合UPnProxy漏洞的DNS放大式攻击（amplification attack）并证明研究团队的假设。

传统上针对DNS的DDoS放大式攻击（或称反射式DDoS攻击）中，攻击者对目标DNS服务器发出请求封包后，经由DNS处理后再传送给目标装置，要求装置回送内容，后者再经由DNS回传给攻击者。其中攻击流量的来源传输埠和接受目标装置回送流量的传输埠是相同的。但在Imperva的概念验证(PoC)攻击中，DDoS结合UPnProxy攻击手法，DDoS流量的来源传输埠已经被改为随机的传输埠，因让使研究人员无从追踪来源进而缓解攻击。

Imperva研究人员指出，只要利用Shodan搜寻服务即可找到上百万包含传输埠比对表的rootDesc.xml档案，并用来发动DDoS攻击。他们也侦测到据信已利用UPnP来隐藏攻击来源、躲避侦测的攻击行为。

研究人员并未释出PoC攻击程式，表示只希望借此研究突显安全业界对UPnP的安全威胁，进而促使物联网装置厂商及销售业者强化产品安全。

家用路由器等已成为下一个安全隐忧。上个月卡巴斯基也公布报告警告，以路由器为对象的APT攻击愈来愈多，已成为仅次CPU漏洞的高风险领域。