酷应用

威胁情报专栏 | ADDP反射攻击来袭？NTI已支持相关检测

百家作者：绿盟科技 2020-07-23 17:41:41

摘要

ADDP（Advanced Digi Discovery Protocol）协议基于UDP，用于发现局域网内的Digi ConnectPort X系列产品；该类发现协议通常同时支持组播和单播，加之UDP能够伪造源IP的缘故，导致暴露在互联网上的这类服务，极其容易被用作反射攻击。

近年来，越来越多的可造成UDP反射攻击的协议进入人们的视线（如CoAP、Ubiquiti、WS-Discovery、OpenVPN、某DVR协议）。这些攻击方式都区别于大家所熟知的DNS、SSDP、NTP、Memcached等反射攻击类型，给DDoS攻击防护带来了一定的挑战。

2020年6月，以色列网络安全公司JSOF曝光了Treck TCP/IP协议栈的若干0-day漏洞，可能导致全球数亿台设备受到影响。在对已公布的白皮书进行分析后，绿盟科技格物实验室发现，其中的一家受影响的厂商Digi生产的设备使用ADDP（Advanced Digi Discovery Protocol）进行设备发现。ADDP使用的组播地址为224.0.5.128，端口2362，但该协议在实现时，也支持单播，加之UDP协议能够伪造源IP，故存在被用作反射攻击的风险。

绿盟科技威胁情报中心（NTI）对该攻击持续监控，已支持对ADDP反射攻击的相关检测及测绘数据检索，可提供最新ADDP暴露资产情报并持续更新。

在NTI上通过特定条件搜索，可获得测绘数据列表：

绿盟科技格物实验室采用绿盟科技威胁情报中心（NTI）在2020年6月的一轮完整测绘数据对ADDP服务的暴露情况进行了分析，关键发现如下：

全球有5000多个IP开放了ADDP服务，存在被利用进行DDoS攻击的风险。这些设备涉及Digi的多款产品，如Connect WAN 3G、ConnectPort WAN VPN、ConnectPort X4、Connect ME4 9210等。
开放ADDP服务的设备暴露数量最多的五个国家依次是美国、意大利、波兰、智利和西班牙，美国的占比达到了43%。
ADDP探测报文的长度是14字节，响应报文长度大多是100多个字节，平均长度为126字节，由此可得平均带宽放大因子为9。
ADDP作为一种新的反射攻击类型，当前暂未引起攻击者的关注，但其潜在的风险主要有两个：一是可被用于DDoS攻击，二是可被用于发现Digi厂商的设备，后续被用于Ripple20相关的攻击。

防护建议

1. 作为安全厂商：

1) 可以在扫描类产品中加入ADDP扫描能力，及时发现客户网络中存在的安全隐患。

2) 可以在防护类产品中加入对于ADDP的流量检测能力，及时发现客户网络中存在的安全威胁。也可以关联开放ADDP服务的IP的威胁情报，阻断命中的源IP的连接。

2. 作为设备开发商：

在对ADDP服务发现报文进行回应时，检查该报文的源IP是否是多播地址，如果不是多播地址的话，则不做回应。这样的话，ADDP服务被利用发起反射攻击的难度将大大增加。

3. 作为运营商：

需遵循BCP38网络入口过滤。

4. 作为监管部门：

1) 对于网络中的ADDP威胁进行监控，发现问题进行通报。

2) 推动设备中ADDP功能的安全评估，如设备不满足相关要求，禁止设备上市等。

5. 作为设备用户：

1) 如无需要，关闭设备的ADDP发现功能。

2) 尽量将开放ADDP服务的设备部署在局域网中，这样可以增大设备被利用的难度。

3) 如果需要将开放ADDP服务的设备部署在公网上，则在设备之前部署路由器（利用NAT能力）或防护类安全设备（如防火墙），控制外部IP对于设备的访问。

6. 作为有DDoS防护需求的用户：

购买具备ADDP反射攻击防护能力的安全厂商的DDoS防护产品。如已购买，并且产品支持应用层特征的自定义，可以加入相应的特征规则。

《ADDP反射攻击分析》报告详细内容点击阅读原文获取。

绿盟威胁情报中心

绿盟威胁情报中心（NSFOCUS Threat Intelligence center, NTI）依托公司专业的安全团队和强大的安全研究能力，对全球网络安全威胁和态势进行持续观察和分析，以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，帮助用户更好地了解和应对各类网络威胁。