Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

100 mil dispositivos podem ser usados para amplificar ataques DDoS

Algumas implementações do protocolo “multicast” DNS estão configuradas para aceitar consultas a partir da Internet, o que é um comportamento de risco

Mais de 100 mil dispositivos têm um serviço configurado incorretamente: o “multicast” DNS (mDNS), que aceita solicitações (“queries”) da Internet e pode potencialmente ser abusado para amplificar ataques distribuídos de negação de serviço (DDoS).

O mDNS é um protocolo que permite aos dispositivos em uma rede local descobrirem outros e os seus serviços. É usado tanto por PCs como por sistemas em rede com o Network Attached Storage (NAS), impressoras e outros.

O protocolo permite que “queries” sejam enviadas para uma máquina específica, usando o seu endereço “unicast”. No entanto, a especificação oficial recomenda que ao receber essas consultas, o serviço mDNS verifique, antes de responder, se o endereço que fez a solicitação está localizado na mesma sub-rede local. Se não estiver, o pedido deve ser ignorado.

O investigador de segurança Chad Seaman descobriu que algumas implementações mDNS não seguem esta recomendação e respondem a “queries” mDNS recebidas a partir da Internet. O problema com esse comportamento é duplo.


Em primeiro lugar, dependendo do tipo de consulta, as respostas mDNS podem revelar detalhes confidenciais sobre os dispositivos e os seus serviços, incluindo o seu modelo, número de série, nome do “host”, endereço MAC físico, configuração de rede e muito mais. Esta informação pode ajudar hackers a planejarem melhor os seus ataques.

A segunda implicação é ainda mais grave. Porque as respostas mDNS podem ser consideravelmente maiores do que as consultas que as desencadeiam e porque o endereço IP de origem pode ser falsificado, os dispositivos que aceitam consultas mDNS a partir da Internet podem ser usados para amplificar ataques DDoS.

Seaman encontrou mais de 100 mil dispositivos que respondem às consultas mDNS na Internet e podem, potencialmente, ser usados para essa amplificação de ataques DDoS.

Alguns dispositivos da Canon, Hewlett-Packard, IBM, Synology respondem a estas “queries” nas suas configurações por defeito mas não é claro se isso ocorre com software atualizado, segundo disse o CERT/CC, que emitiu um comunicado sobre o problema.

O Avahi, software Linux para configuração de redes, também é considerado vulnerável.