No es la primera que UPnP muestra
signos de debilidad ya que en una ocasión anterior más de 50 millones de
dispositivos (sobre todo routers) estaban en peligro por una vulnerabilidad
detectada que afectada a este protocolo. En esta ocasión este se ve salpicado
pero es uno de los protocolos abarcados el que está siendo utilizado por los
hackers, concretamente SSDP.
Para que podamos entender a grandes rasgos cuál es la
función de este protocolo, podría decirse que permite que dispositivos se
conecten entre sí, como por ejemplo routers, ordenadores, impresoras, consolas
de videojuegos o cualquier otro dispositivos que imaginemos.
Los hackers han comenzado a utilizar el protocolo SOAP
( del inglés Simple Access Object Protocol) para realizar peticiones de
paquetes a otros equipos. En condiciones normales los equipos a los que se les
ha enviado el paquete de sondeo contestan con un paquete pequeño. Sin embargo,
los hackers se las han arreglado para provocar que el equipo al que se le ha
realizado la “pregunta” devuelva un paquete mucho más grande y redirigir este
paquete contra la víctima sobre la que se quiere realizar el ataque de
denegación de servicio.
Expertos en seguridad destacan que el número de
dispositivos tan elevado y lo variado que puede ser en lo referido al tipo de
dispositivos hace que la creación de una actualización no sea tan fácil. Si los
hackers utilizasen solo los routers los fabricantes se pondrían a trabajar en
actualizaciones, sin embargo una variedad tan amplia de dispositivos hace que
este aspecto no sea tan sencillo.
4,35 Gb por segundo y más de 7
millones de paquetes
- Después de visualizar algunos ataques se ha podido ver que se han conseguido una transmisión muy elevada y también un gran número de paquetes. Aunque no está confirmado, desde varias fuentes creen que en la actualidad podrían existir más de 4 millones de dispositivos afectados por este problema, y evidentemente su localización resulta muy complicada.
- A la hora de realizar el ataques los ciberdelincuentes realizan su actividad en el puerto 1900 UDP. Por lo tanto, si al utilizar un analizador de tráfico de red vemos actividad en ese puerto de forma anormal (mucha más actividad de lo que es normal) tendríamos que tener en cuenta que lo mejor sería bloquearlo para evitar que nuestro equipo sea utilizado para realizar el ataque de denegación de servicio.
