Algumas implementações do protocolo “multicast” DNS estão configuradas para aceitarem consultas a partir da Internet, o que é um comportamento de risco.
Mais de 100 mil dispositivos têm um serviço configurado incorrectamente, chamado de “multicast” DNS (mDNS), que aceita solicitações (“queries”) da Internet e pode potencialmente ser abusado para amplificar ataques distribuídos de negação de serviço (DDoS).
O mDNS é um protocolo que permite aos dispositivos numa rede local descobrirem outros e os seus serviços. É usado tanto por PCs como por sistemas em rede com o Network Attached Storage (NAS), impressoras e outros.
O protocolo permite que “queries” sejam enviadas para uma máquina específica, usando o seu endereço “unicast”. No entanto, a especificação oficial recomenda que ao receber essas consultas, o serviço mDNS deve verificar antes de responder que o endereço que fez a solicitação está localizado na mesma sub-rede local. Se não estiver, o pedido deve ser ignorado.
O investigador de segurança Chad Seaman descobriu que algumas implementações mDNS não seguem esta recomendação e respondem a “queries” mDNS recebidas a partir da Internet. O problema com esse comportamento é duplo.
Em primeiro lugar, dependendo do tipo de consulta, as respostas mDNS podem revelar detalhes confidenciais sobre os dispositivos e os seus serviços, incluindo o seu modelo, número de série, nome do “host”, endereço MAC físico, configuração de rede e muito mais. Esta informação pode ajudar hackers a planearem melhor os seus ataques.
A segunda implicação é ainda mais grave. Porque as respostas mDNS podem ser consideravelmente maiores do que as consultas que as desencadeiam e porque o endereço IP de origem pode ser falsificado, os dispositivos que aceitam consultas mDNS a partir da Internet podem ser abusados para amplificar ataques DDoS.
Seaman encontrou mais de 100 mil dispositivos que respondem às consultas mDNS na Internet e podem potencialmente ser usados para essa amplificação de ataques DDoS.
Alguns dispositivos da Canon, Hewlett-Packard, IBM, Synology respondem a estas “queries” nas suas configurações por defeito mas não é claro se isso ocorre com software actualizadodisse o CERT/CC, que emitiu um comunicado sobre o problema.
O Avahi, software Linux para configuração de redes, também é considerado vulnerável.