Недавно открытая форма DDoS-атаки использует известную уязвимость безопасности в универсальном сетевом протоколе Universal Plug and Play (UPnP), позволяющую злоумышленникам обходить общие методы обнаружения. Атаки запускаются из нестандартных портов источников, что затрудняет определение их происхождения и использование черных списков портов для защиты от будущих атак.

Новая форма DDoS-атаки была раскрыта и детализирована исследователями компании Imperva, которые утверждают, что она дважды использовалась неизвестными злоумышленниками.

Протокол UPnP обычно используется для обнаружения IoT-устройств, которые используют его для поиска друг друга и общения по сети. Протокол по-прежнему используется, несмотря на известные проблемы, связанные с небезопасными настройками по-умолчанию, отсутствием проверки подлинности и уязвимостями, связанными с удаленным выполнением произвольного кода, специфичным для UPnP, что делает уязвимыми устройства для атаки.

Примеры проблем с протоколом впервые обнаружены в 2001 года, но простота его использования означает, что он по-прежнему широко востребован. Исследователи Imperva утверждают, что раскрытие информации о том, как  сделать DDoS-атаки более сложными, может сделать проблему весьма распространенной.

Хотя большинство атак приходилось со стандартного SSDP-порта (1900), около 12 процентов нагрузки приходилось на случайные порты источника. Специалисты также обнаружили метод атаки, где источники могут быть скрыты используя UPnP.

На текущий момент, исследователи нашли около 1.3 миллионов потенциально уязвимых устройств с помощью поискового сервиса Shodan.

Исследователи отмечают, что существует относительно простой способ защиты систем от этого и других эксплойтов UNPnP: просто заблокируйте удаленный доступ к устройству.