Эксперты в области сетевой безопасности обнаружили увеличение количества атак с использованием протокола Session Traversal Utilities для протокола NAT (STUN).
STUN-серверы нужны в сети для того, чтобы подключенные к интернету устройства “знали” свой внешний IP-адрес. Это нужно для правильного “общения” компьютера с другими ресурсами в интернете. Однако подавляющее большинство устройств подключены в интернет через шлюз в локальной сети с NAT-экраном (простыми словами, через роутер, который выдаёт компьютерам ip-адреса локальной сети, а не “внешние” ip-адреса).
На этом этапе в дело вступает STUN-сервер: компьютер из локальной сети посылает STUN-серверу пакет, тот его получает и отправляет обратно, “подписав” пакет адресом и номером порта, с которых он его получил. Как только компьютер получит подписанный пакет, он “узнает” свой внешний ip и адрес шлюза и уже сможет “общаться” с другими ресурсами в интернете.
По информации из пресс-релиза компании Netscout, новые атаки используют уязвимые системы, на которых запущены службы STUN, и позволяют злоумышленникам запускать атаки отражения/усиления по протоколу UDP против выбранной ими цели. На сегодня в сети находятся более 75 тысяч уязвимых серверов, количество запросов с которых во время атаки можно увеличить до 3 раз и направить ИТ-инфраструктуру жертвы.
Повсеместность уязвимых серверов STUN и коэффициент усиления трафика, достигаемый с их помощью, делают STUN проблемой для любой организации. Специалисты по ИТ-безопасности дают в этой связи следующие актуальные рекомендации.