Forkert opsat mDNS kan misbruges til DDoS

Artiklen blev oprindeligt publiceret den 8/4/2015

Angribere kan misbruge mDNS (Multicast DNS) til at forstærke DDoS-angreb (Distributed Denial of Service).

MDNS er et system til navneopslag, der i modsætning til det normale DNS (Domain Name System) ikke kræver en server. Det er udbredt på smartphones og andre mindre enheder.

Alle enhederne på lokalnettet kan udsende og besvare forespørgsler, der sendes som multicast (til flere modtagere). Det er også muligt at sende en forespørgsel direkte til en bestemt enhed.

Specifikationerne for mDSN anbefaler, at enheder ikke besvarer forespørgsler, der sendes til dem fra enheder uden for deres eget netværk.

Men sikkerhedsforsker Chad Seaman har opdaget, at flere udgaver af mDNS-software svarer på forespørgsler sendt fra andre netværk. Det indebærer to risici: Uvedkommende kan få adgang til fortrolig information. Og svarene kan indgå i et såkaldt reflektionsangreb, hvor offeret modtager en stor mængde svar fra mDNS-enheder.

I en test fandt Chad Seaman over 100.000 enheder, der svarede på mDNS-forespørgsler sendt over internettet. Nogle af dem var NAS-disksystemer og printere.

Anbefaling
Kontroller opsætningen af mDNS. Overvej at spærre i firewallen for opkald til og fra UDP-port 5353 ude fra internettet.

Links