17.000 dispositivos vulneráveis a ataques em Portugal

ntp_map_portugal_2

Com base nos últimos artigos que tenho escrito, tanto no WebSegura, como no Tek Sapo, decidi obter mais informação sobre algumas falhas em routers em Portugal. Foquei-me inteiramente nos protocolos NTP e SSDP, visto serem neste momento bastante utilizados como plataforma para amplificação de ataques DDoS.

Nesta investigação, e com dados recolhidos entre os dias 11 e 12 deste mês no projeto ShadowServer Foundation, concluí que existem cerca de 17.491 dispositivos alegadamente vulneráveis a ataques NTP e SSDP/UPnP em Portugal.

No topo dos ISPs com mais dispositivos vulneráveis, está a VODAFONE, logo seguido pela MEO e a TVCABO.

Elaborei dois gráficos para melhor ilustrar os ISPs afetados em Portugal.

TOP10 dos ISPs vulneráveis ao NTP em Portugal

grafico_ntp

Num total de 12010 ocorrências [o gráfico apenas ilustra o total do Top10] – https://ntpscan.shadowserver.org/

TOP10 dos ISPs vulneráveis ao SSDP em Portugal

ssdp_portugal_grafico

Num total de 5481 ocorrências [o gráfico apenas ilustra o total do Top10] – https://ssdpscan.shadowserver.org/

Só para ter ideia do tipo de amplificação dos ataques SSDP, se for feito um pedido de 64 bytes ao serviço, a resposta é de 3283 bytes. Ou seja, uma amplificação de cerca de 50x.
Geralmente os utilizadores maliciosos utilizam pedidos M-SEARCH numa determinada gama de IPs. Se o dispositivo SSDP/UPnP responder ao pedido com a descrição do dispositivo, então está vulnerável. Com base nestas respostas, os utilizadores elaboram uma lista de dispositivos vulneráveis para posteriormente criarem botnets ou booters.

O projeto Shadowserver Foundation tem como objectivo pesquisar e identificar dispositivos com os serviços NTP e SSDP abertos e disponíveis.
Posteriormente contatam os responsáveis para uma resolução.

Gostava também de salientar que o Brasil é atualmente o 8º país no mundo com mais dispositivos NTP abertos (118.030 ocorrências) e 7º em relação ao SSDP (395.251 ocorrências). De facto são números assustadores.

Embora os utilizadores possam, na maioria dos casos, recorrer ao painel de administração dos dispositivos e desligar os serviços que que não utiliza, o papel deveria ser implementado pelo ISPs. Uma pequena GRANDE atenção que os ISPs poderiam dar aos seus clientes, seria fornecer um manual de segurança ou uma newsletter mensal [ou imediata assim que aparecer uma falha crítica] com informação de segurança, qualquer um deles seria positivo para uma web mais segura.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?