13 июля 2021

Серверы STUN используются для DDoS-атак

Технология атаки

Эксперты в области сетевой безопасности обнаружили увеличение количества атак с использованием протокола Session Traversal Utilities для протокола NAT (STUN).

STUN-серверы нужны в сети для того, чтобы подключенные к интернету устройства “знали” свой внешний IP-адрес. Это нужно для правильного “общения” компьютера с другими ресурсами в интернете. Однако подавляющее большинство устройств подключены в интернет через шлюз в локальной сети с  NAT-экраном (простыми словами, через роутер, который выдаёт компьютерам ip-адреса локальной сети, а не “внешние” ip-адреса).

На этом этапе в дело вступает STUN-сервер: компьютер из локальной сети посылает STUN-серверу пакет, тот его получает и отправляет обратно, “подписав” пакет адресом и номером порта, с которых он его получил. Как только компьютер получит подписанный пакет, он “узнает” свой внешний ip и адрес шлюза и уже сможет “общаться” с другими ресурсами в интернете.

По информации из пресс-релиза компании Netscout, новые атаки используют уязвимые системы, на которых запущены службы STUN, и позволяют злоумышленникам запускать атаки отражения/усиления по протоколу UDP против выбранной ими цели. На сегодня в сети находятся более 75 тысяч уязвимых серверов, количество запросов с которых во время атаки можно увеличить до 3 раз и направить ИТ-инфраструктуру жертвы.

Повсеместность уязвимых серверов STUN и коэффициент усиления трафика, достигаемый с их помощью, делают STUN проблемой для любой организации. Специалисты по ИТ-безопасности дают в этой связи следующие актуальные рекомендации.

Как защититься от DDoS c использованием уязвимостей STUN

• STUN-серверы уязвимы только в случае с работой по протоколу UDP. Если сетевые администраторы настроят работу STUN только по протоколу TCP, эксплойта удастся избежать;
• Сетевые администраторы должны быстро внедрять лучшие практики построения и защиты сетей в свою работы, чтобы отвечать самым актуальным ИТ-угрозам;
• Рекомендуется разделять внутренний трафик организации (интранет) от внешнего. Следует иметь возможность пропускать трафик извне в том числе и по резервному каналу подключения. В этом случае деятельность бэк-офиса не пострадает от широкомасштабной атаки из внешней сети, а если она всё же произойдёт, то останется резервный канал связи с “внешним миром”
• ИТ-инфраструктура должна быть защищена специализированными сервисами против DDoS-атак. Локальные сервисы по защите от DDoS-атак должны быть объединены с облачными или транзитными службами защиты от DDoS-атак для обеспечения максимальной скорости реагирования и гибкости во время атаки.