Diferenças

Aqui você vê as diferenças entre duas revisões dessa página.

--- start [2022/08/31 11:51] – bernardino
+++ start [2025/03/16 11:41] (atual) – bernardino
@@ Linha 1: / Linha 1: @@
-====== Redes TI - SOC - Security Operations Center ======
+====== Security Operations Center ======
@@ Linha 5: / Linha 5: @@
 ====== Resposta de Incidentes ======
+====== mDNS - Multicast DNS (5353/udp) ======
+O mDNS é um protocolo DNS Multicast. Um “multicast” repassa a mesma mensagem para vários pontos em uma rede.
+O mDNS é um método para descoberta de vizinhos de uma rede, indicado para redes pequenas sem servidores DNS próprios.
+===== Notificação =====
+Caro responsável,
+Os IPs presentes no log abaixo são de servidores sob sua responsabilidade com o serviço mDNS - Multicast DNS (5353/udp) habilitado.
+Este serviço pode ser abusado para fazer parte de ataques distribuídos de negação de serviço, consumindo recursos da sua rede e impactando terceiros.
+Lembramos que os endereços IP listados também podem ser dispositivos de rede com o serviço mDNS habilitado, como roteadores, CPEs (modem ou roteador de uso doméstico instalado nos clientes), impressoras, dispositivos para streaming de mídia, entre outros.
+Gostaríamos de solicitar que:
+ * O serviço mDNS seja acessível apenas à sua rede local, ou que desabilite o serviço no equipamento, caso nao esteja em uso.
+Uma descrição do problema e possíveis soluções podem ser encontradas no final deste documento.
+Se você não for a pessoa correta para corrigir o problema destes equipamentos com o serviço mDNS habilitado, por favor repasse essa mensagem para alguém de sua organização que possa fazê-lo.
+O indicador no campo 'Resultados do Teste' indica o tipo de problema testado e significa:
+ * mdns: status/pacotes/bytes, onde status é "open", e pacotes/bytes indicam o tamanho da resposta recebida, em pacotes/bytes;
+|Endereco IP      | Status | Data do Teste        | Resultados do Teste|
+|000.000.000.000  | OPEN   | 2030-01-01T23:59:00Z | mdns: open/1/78|
+Mais detalhes sobre o porque do envio desta mensagem, quem é o CERT.br e como resolver este problema estao listados abaixo.
+Cordialmente,
+===== O que é o serviço mDNS (5353/udp)? =====
+O mDNS (Multicast DNS) é um protocolo de rede utilizado para a resolução de nomes em redes locais que não possuem um servidor DNS próprio. Por se tratar de um serviço utilizado apenas dentro de redes locais, não é necessário que o serviço mDNS esteja exposto à Internet.
+Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação. Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o servidor com mDNS retorna uma resposta muito maior que a requisição.
+==== Por que devo me preocupar com isso? ====
+O serviço mDNS pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações, além de implicar em um consumo de banda maior.
+Informações adicionais sobre como evitar que sua rede seja abusada para este e outros ataques DDoS podem ser econtradas aqui:
+https://cert.br/docs/whitepapers/ddos/
+==== Como faço para corrigir o problema? ====
+Se o serviço mDNS não for utilizado na sua rede desabilite o serviço no seu dispositivo. Se o recurso for necessário em sua rede, configure-o de modo que esteja disponível apenas para a rede local.
+==== Onde posso obter informações adicionais sobre o abuso do protocolomDNS para ataques DDoS? ====
+- UDP-Based Amplification Attacks: https://www.us-cert.gov/ncas/alerts/TA14-017A
+==== Como o CERT.br sabe que este é um dispositivo vulnerável? ====
+O CERT.br está recebendo notificações com listas de dispositivos que usam mDNS que possivelmente estão sendo abusados e utilizados em ataques distribuídos de negação de servidos (DDoS). O CERT.br está notificando os responsáveis pelos dispositivos brasileiros presentes nestas listas.
+==== Como posso ter certeza que resolvi o problema? ====
+Você pode verificar seu dispositivo através do seguinte comando:
+(preferencialmente execute-o a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao dispositivo).
+$ dig @ENDERECO_IP -p 5353 ptr _services._dns-sd._udp.local
+Onde ENDERECO_IP é o IP do dispositivo usando mDNS a ser testado.
+Antes de executar o comando acima certifique-se que você tem a ferramenta dig instalada em seu computador.
+==== Onde aprender mais sobre configuração segura de sistemas? ====
+- Práticas de Segurança para Administradores de Redes Internet: https://cert.br/docs/seg-adm-redes/
+====== DHCPDISCOVER (37810/udp) ======
+DHCPDISCOVER: serve para encontrar quais servidores DHCP estão disponíveis. DHCPOFFER: uma resposta do servidor para os pacotes DHCPDISCOVER que têm os primeiros parâmetros da conexão. DHCPREQUEST: pedidos dos clientes para prolongar o tempo de aluguel do endereço IP.
+===== Notificação =====
+Caro responsável,
+Os IPs presentes no log abaixo são de equipamentos de vídeo (DVR ou câmeras) sob sua responsabilidade ou sob a responsabilidade de usuários da sua rede com o serviço DHCPDiscover (37810/udp) habilitado.
+Este serviço pode ser abusado para fazer parte de ataques distribuídos de negação de serviço (DDoS), consumindo recursos da sua rede e impactando terceiros.
+Além disso, informações sensíveis armazenadas neste equipamento podem ser reveladas a terceiros e ele pode ter seu funcionamento interrompido se for abusado para um ataque DDoS.
+Gostaríamos de solicitar que:
+ * O serviço DHCPDiscover seja acessível somente a usuários ou dispositivos autorizados. Caso o serviço DHCPDiscover seja desnecessário nesse equipamento, recomendamos que ele seja desativado ou tenha seu acesso limitado;
+Uma descrição do problema encontra-se no final deste documento.
+Se você não for a pessoa correta para corrigir o problema destes equipamentos, por favor repasse essa mensagem para alguém de sua organização ou para o cliente que possa fazê-lo.
+O indicador no campo 'Resultados' indica o tipo de problema testado e significa:
+ * dvr-dhcpdiscover: status/pacotes/bytes, onde status é "open", e pacotes/bytes indicam o tamanho da resposta recebida, em pacotes/bytes
+|Endereco IP      | Status | Data do Teste        | Resultados                   | Detalhes|
+|0.0.0.0          | OPEN   | 2030-01-31T00:00:00Z | dvr-dhcpdiscover: open/1/719 | Intelbras MHDX 1116|
+|0.0.0.0          | OPEN   | 2030-01-31T00:00:00Z | dvr-dhcpdiscover: open/1/709 | Intelbras MHDX 1116|
+|0.0.0.0          | OPEN   | 2030-01-31T00:00:00Z | dvr-dhcpdiscover: open/1/790 | Intelbras HDCVI 1016 - Geração 2|
+Mais detalhes sobre o porque do envio desta mensagem, quem é o CERT.br e como resolver este problema estão listados abaixo.
+Cordialmente,
+--
+CERT.br\\
+<[email protected]>\\
+https://cert.br\\
+===== O que é o serviço DHCPDiscover (37810/udp) em equipamentos de vídeo? =====
+O servico DHCPDiscover é utilizado para gerência de equipamentos de gravação de vídeo (DVR ou câmeras).
+Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação.
+Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o serviço DHCPDiscover retorna uma resposta muito maior que a requisição.
+==== Por que devo me preocupar com isso? ====
+Os equipamentos com o serviço DHCPDiscover habilitado podem ser abusados para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações e implicar em um consumo de banda maior.
+Além dessas implicações, informações sensíveis armazenadas neste equipamento podem ser reveladas a terceiros e ele pode ter seu funcionamento interrompido se for abusado para um ataque DDoS.
+Informações adicionais sobre como evitar que sua rede seja abusada para ataques DDoS podem ser encontradas aqui:
+https://cert.br/docs/whitepapers/ddos/
+==== Como faço para corrigir o problema? ====
+Configure o equipamento de vídeo de forma que ele seja acessível somente aos usuários ou redes autorizados, que utilizem esse serviço.
+Caso o serviço DHCPDiscover seja desnecessário nesse equipamento, recomendamos que ele seja desativado ou tenha seu acesso limitado.
+==== Onde posso obter informações adicionais sobre o abuso do DVR-DHCPDiscover e ataques DDoS? ====
+- UDP-Based Amplification Attacks
+https://www.us-cert.gov/ncas/alerts/TA14-017A
+- DHCPDiscover Reflection/Amplification DDoS Attack Mitigation Recommendations
+https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation
+- DHDiscover reflection attacks can magnify nearly 200 times of the attack 1
+https://nsfocusglobal.com/dhdiscover-reflection-attacks-can-magnify-nearly-200-times-of-the-attack-1/
+==== Como o CERT.br sabe que este é um equipamento vulnerável? ====
+O CERT.br recebe notificações com listas de equipamentos que possivelmente estão sendo abusados e utilizados em ataques distribuídos de negação de serviços (DDoS). O CERT.br está notificando os responsáveis pelos servidores brasileiros presentes nestas listas.
+==== Como posso ter certeza que resolvi o problema? ====
+Você pode verificar seu servidor através do seguinte comando: (preferencialmente execute-os a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao servidor).
+echo -n "\xff" | nc -u IP_DEVICE 37810
+Onde IP_DEVICE é o IP do equipamento a ser testado.
+==== Onde aprender mais sobre configuração segura de sistemas? ====
+- Práticas de Segurança para Administradores de Redes Internet
+https://cert.br/docs/seg-adm-redes/
 ====== NetBIOS (137/udp) ======