ALERTA
Caro responsável,
Os IPs presentes no log abaixo são de equipamentos de vídeo (DVR ou câmeras) sob sua responsabilidade ou sob a responsabilidade de usuários da sua rede com o serviço DHCPDiscover (37810/udp) habilitado.
Este serviço pode ser abusado para fazer parte de ataques distribuídos de negação de serviço (DDoS), consumindo recursos da sua rede e impactando terceiros. Além disso, informações sensíveis armazenadas neste equipamento podem ser reveladas a terceiros e ele pode ter seu funcionamento interrompido se for abusado para um ataque DDoS.
Gostaríamos de solicitar que:
* O serviço DHCPDiscover seja acessível somente a usuários ou dispositivos autorizados. Caso o serviço DHCP Discover seja desnecessário nesse equipamento, recomendamos que ele seja desativado ou tenha seu acesso limitado;
Uma descrição do problema encontra-se no final deste documento.
Se você não for a pessoa correta para corrigir o problema destes equipamentos, por favor repasse essa mensagem para alguém de sua organização ou para o cliente que possa fazê-lo.
O indicador no campo 'Resultados' indica o tipo de problema testado e significa:
* dvr-dhcpdiscover: status/pacotes/bytes, onde status é "open", e pacotes/bytes indicam o tamanho da resposta recebida, em pacotes/bytes
=============================================================================================================
Endereco IP | ASN | Status | Data do Teste | Resultados | Detalhes
0.0.0.0 | 000000 | OPEN | 2022-00-24T12:00:00Z | dvr-dhcpdiscover: open/1/707 | Intelbras MHDX 1116
0.0.0.0 | 000000 | OPEN | 2022-00-24T12:00:00Z | dvr-dhcpdiscover: open/1/790 | Intelbras HDCVI 1016 - Geração 2
=============================================================================================================
Mais detalhes sobre o porque do envio desta mensagem, quem é Redes TI e como resolver este problema estão listados abaixo.
Cordialmente,
--
Redes TI
<cert@redes.tec.br>
DVR-DHCP Discover habilitado
- bernardino
- Site Admin
- Mensagens: 682
- Registrado em: 28 Ago 2020, 15:11
DVR-DHCP Discover habilitado
Algumas pessoas acham que foco significa dizer sim para a coisa em que você vai se focar.
Mas não é nada disso.
Significa dizer não às centenas de outras boas ideias que existem.
Você precisa selecionar cuidadosamente.”
Steve Jobs
Mas não é nada disso.
Significa dizer não às centenas de outras boas ideias que existem.
Você precisa selecionar cuidadosamente.”
Steve Jobs
- bernardino
- Site Admin
- Mensagens: 682
- Registrado em: 28 Ago 2020, 15:11
Re: DVR-DHCP Discover habilitado
O que é o serviço DHCPDiscover (37810/udp) em equipamentos de vídeo?
O servico DHCPDiscover é utilizado para gerência de equipamentos de gravação de vídeo (DVR ou câmeras). Caso esteja acessível a toda a
Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação. Isto ocorre porque o atacante envia uma
requisição forjando o IP da vítima e o serviço DHCPDiscover retorna uma resposta muito maior que a requisição.
Por que devo me preocupar com isso?
Os equipamentos com o serviço DHCPDiscover habilitado podem ser abusados para causar danos a terceiros, envolvendo sua rede em ataques
a outras organizações e implicar em um consumo de banda maior. Além dessas implicações, informações sensíveis armazenadas neste equipamento podem ser reveladas a terceiros e ele pode ter seu funcionamento interrompido se for abusado para um ataque DDoS.
Informações adicionais sobre como evitar que sua rede seja abusada para ataques DDoS podem ser encontradas aqui:
https://cert.br/docs/whitepapers/ddos/
Como faço para corrigir o problema?
Configure o equipamento de vídeo de forma que ele seja acessível somente aos usuários ou redes autorizados, que utilizem esse serviço.
Caso o serviço DHCPDiscover seja desnecessário nesse equipamento, recomendamos que ele seja desativado ou tenha seu acesso limitado.
Onde posso obter informações adicionais sobre o abuso do DVR-DHCPDiscover e ataques DDoS?
UDP-Based Amplification Attacks
https://www.us-cert.gov/ncas/alerts/TA14-017A
DHCPDiscover Reflection/Amplification DDoS Attack Mitigation Recommendations
https://www.netscout.com/blog/asert/dhc ... mitigation
- DHDiscover reflection attacks can magnify nearly 200 times of the attack 1
https://nsfocusglobal.com/dhdiscover-re ... -attack-1/
Como posso ter certeza que resolvi o problema?
Você pode verificar seu servidor através do seguinte comando:
(preferencialmente execute-os a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao servidor).
Onde IP_DEVICE é o IP do equipamento a ser testado.
Onde aprender mais sobre configuração segura de sistemas?
Práticas de Segurança para Administradores de Redes Internet
https://cert.br/docs/seg-adm-redes/
Por que estou recebendo essa mensagem?
Você está recebendo esse email por estar listado em https://registro.br/ como contato desta rede ou domínio.
Se você for contato de várias redes diferentes é possível que você receba mais de um email, com conteúdos diferentes. Por favor não apague outras cópias que vier a receber.
O servico DHCPDiscover é utilizado para gerência de equipamentos de gravação de vídeo (DVR ou câmeras). Caso esteja acessível a toda a
Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação. Isto ocorre porque o atacante envia uma
requisição forjando o IP da vítima e o serviço DHCPDiscover retorna uma resposta muito maior que a requisição.
Por que devo me preocupar com isso?
Os equipamentos com o serviço DHCPDiscover habilitado podem ser abusados para causar danos a terceiros, envolvendo sua rede em ataques
a outras organizações e implicar em um consumo de banda maior. Além dessas implicações, informações sensíveis armazenadas neste equipamento podem ser reveladas a terceiros e ele pode ter seu funcionamento interrompido se for abusado para um ataque DDoS.
Informações adicionais sobre como evitar que sua rede seja abusada para ataques DDoS podem ser encontradas aqui:
https://cert.br/docs/whitepapers/ddos/
Como faço para corrigir o problema?
Configure o equipamento de vídeo de forma que ele seja acessível somente aos usuários ou redes autorizados, que utilizem esse serviço.
Caso o serviço DHCPDiscover seja desnecessário nesse equipamento, recomendamos que ele seja desativado ou tenha seu acesso limitado.
Onde posso obter informações adicionais sobre o abuso do DVR-DHCPDiscover e ataques DDoS?
UDP-Based Amplification Attacks
https://www.us-cert.gov/ncas/alerts/TA14-017A
DHCPDiscover Reflection/Amplification DDoS Attack Mitigation Recommendations
https://www.netscout.com/blog/asert/dhc ... mitigation
- DHDiscover reflection attacks can magnify nearly 200 times of the attack 1
https://nsfocusglobal.com/dhdiscover-re ... -attack-1/
Como posso ter certeza que resolvi o problema?
Você pode verificar seu servidor através do seguinte comando:
(preferencialmente execute-os a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao servidor).
Código: Selecionar todos
echo -n "\xff" | nc -u IP_DEVICE 37810
Onde aprender mais sobre configuração segura de sistemas?
Práticas de Segurança para Administradores de Redes Internet
https://cert.br/docs/seg-adm-redes/
Por que estou recebendo essa mensagem?
Você está recebendo esse email por estar listado em https://registro.br/ como contato desta rede ou domínio.
Se você for contato de várias redes diferentes é possível que você receba mais de um email, com conteúdos diferentes. Por favor não apague outras cópias que vier a receber.
Algumas pessoas acham que foco significa dizer sim para a coisa em que você vai se focar.
Mas não é nada disso.
Significa dizer não às centenas de outras boas ideias que existem.
Você precisa selecionar cuidadosamente.”
Steve Jobs
Mas não é nada disso.
Significa dizer não às centenas de outras boas ideias que existem.
Você precisa selecionar cuidadosamente.”
Steve Jobs