Stampanti, router, telecamere IP, sensori e altri dispositivi connessi a Internet sono sempre più utilizzati per lanciare grandi attacchi Distributed Denial Of Service (DDoS). Questo è quanto emerge da un report pubblicato questa settimana dalla società di sicurezza Prolexic e che sottolinea come non basti più preoccuparsi di blindare PC, tablet e smartphone, ma serva tenere sott’occhio la sicurezza di qualsiasi dispositivo connesso alla Rete. Un avviso soprattutto destinato alle aziende e associazioni, che sempre di più sono nel mirino dei pirati informatici.
Già la sicurezza di PC, smartphone e tablet è un problema per l'utente medio... ma come riusciremo mai a spiegargli che anche tutti gli altri dispositivi connessi a una rete sono potenzialmente pericolosi?
Stando a quanto riportato dal report di Prolexic, gli hacker stanno sfruttando le vulnerabilità insite in alcuni comuni protocolli di rete utilizzati da dispositivi sopra elencati per trasformarli in bot maligni. La relazione parla in particolare di tre in particolare che, per le loro vulnerabilità, possono venire utilizzati per attacchi DDoS: Simple Network Management Protocol (SNMP), Network Time Protocol e (NTP) e il Character Generator Protocol (CHARGEN).
SNMP, che è utilizzato per gestire dispositivi come router e stampanti che sono collegati a Internet e permetterne il controllo remoto, è forse il più problematico. Alcune versioni di questo protocollo trasmettono i dati in forma leggibile e sono quindi vulnerabili alle intercettazione e conseguente modifica di tali dati. Inoltre, è anche vulnerabile al cosiddetto "spoofing IP" perché l'origine di trasmissione di una richiesta SNMP non può essere verificata e tutte le versioni di SNMP sono vulnerabili ad attacchi di tipo "brute force".
Gli aggressori possono sfruttare tali falle per prendere il controllo dei dispositivi collegati alla rete e usarli per lanciare attacchi denial of service, ha spiegato Gareau (un esperto di sicurezza di Prolexic). I bug permettono anche agli hacker di inviare le richieste di IP spoofing di un host SNMP e farlo rispondere con un messaggio che è molte volte più grande a livello di byte rispetto alla richiesta originale. In alcuni casi, gli aggressori possono creare richieste IP che generano quasi 7,5 volte più traffico rispetto alla richiesta originaria.
Come risultato, gli hacker possono generare enormi volumi di traffico DDoS con piccole richieste SNMP relativamente piccole. Le organizzazioni e le aziende che vogliono ridurre il rischio che i loro dispositivi siano utilizzati per attacchi DDoS dovrebbero disattivare il protocollo SNMP se non è necessario, o quanto meno limitarne l'accesso tramite rigide procedure di controllo e disattivare le modalità di lettura e scrittura, a meno che non sia assolutamente indispensabile tenerle attive per le operazioni aziendali, ha specificato Prolexic nella sua segnalazione. Le aziende dovrebbero anche prendere in considerazione misure di autenticazione blindate per controllare l'accesso ai dispositivi SNMP.