Esta não é uma vulnerabilidade como muitas outras, nas quais uma falha permite ‘simplesmente’ aceder a um dispositivo ou à rede interna de uma empresa. Esta é uma falha que permite aumentar e muito o poder – e as consequências – do ataque feito por um pirata informático. Além disso, uma empresa pode não ser apenas vítima deste ataque, pode também ser usada como ferramenta para atacar outras empresas.
A falha agora descoberta permite que um pirata informático possa criar um devastador ataque de negação de serviço (denial of service, DoS, em inglês), uma tipologia de ataque que ‘inunda’ um servidor com muitos pedidos de acesso, tornando-o inacessível, e sem precisar de ter, por exemplo, uma enorme rede de computadores infectados (botnet) à sua disposição.
A vulnerabilidade (designada por CVE-2023-29552) foi reportada pelo português Pedro Umbelino, investigador na empresa de segurança informática Bitsight, e pelo também investigador Marco Lux, da empresa Curesec. A falha recebeu a classificação de “severidade alta” pela Agência de Segurança de Infraestruturas e Cibersegurança dos EUA (CISA).
Um protocolo antiquado
Em causa está um sistema conhecido como protocolo de serviços de localização (SLP na sigla em inglês). Este protocolo, criado em 1997, permite que os dispositivos dentro da mesma rede interna consigam comunicar entre si. “Numa grande empresa, com uma rede interna e com centenas de dispositivos, quando alguém instala uma nova impressora, o SLP permitia que uma impressora pudesse dizer ‘sou a impressora X, estou aqui e podem imprimir com este endereço’”, começa por explicar Pedro Umbelino, em entrevista por videochamada à Exame Informática.
Por ter sido um protocolo criado antes do grande ‘boom’ da internet, não foi pensado (e não está devidamente preparado) para a realidade dos dispositivos ligados constantemente à internet. Mas à medida que os anos foram passando e os equipamentos passaram a estar quase todos online, isso fez com que muitos servidores tenham acesso a dispositivos que ainda têm o protocolo SPL ativado, não sendo, no entanto, suposto estarem disponíveis de forma ‘aberta’ para toda a internet. Mas é justamente isso que está a acontecer.
A Bitsight descobriu mais de 50 mil endereços de IP (funcionam como a ‘morada digital’ dos dispositivos na internet) de equipamentos nos quais é possível explorar o protocolo SLP. E a falha em causa permite que um utilizador não autenticado possa fazer registos, num servidor, usando o SLP.
E é aqui que a história se adensa. Como este protocolo permite fazer registos na memória de um servidor (p.ex., registar que uma impressora está agora disponível para ser usada na rede interna da empresa) e tem por base um protocolo de transferência de dados (conhecido como UDP), que tem vulnerabilidades conhecidas (como falsificar o endereço IP de quem inicia a conexão), cria um problema que à primeira vista pode parecer banal, mas que na prática pode tornar-se desastroso.
Segundo Pedro Umbelino, o envio de um pedido de informação de apenas 29 bytes permite gerar uma resposta de 65 mil bytes. É quase como se fizessemos uma pergunta a alguém a sussurrar e a resposta fosse dada pelo sistema de altifalantes de um estádio de futebol. Ou seja, existe uma amplificação superior a 2200 vezes entre o envio do pedido e a resposta que é dada. “Se repetir o processo e distribuir este processo por uma data de servidores que são afetados, consigo criar um ataque de negação de serviço com pouca largura de banda”, detalha o investigador português.
E ao contrário do que é habitual num ataque de negação de serviço de grande escala, que tipicamente obriga a que o pirata informático tenha controlo sobre uma enorme rede de dispositivos e uma infraestrutura de internet robusta para poder executar o ataque, a vulnerabilidade agora descoberta permite que um ‘simples’ atacante, sem qualquer controlo de outros dispositivos e com uma rede de fibra doméstica, consiga gerar gigantescos ataques de negação de serviço.
“É o ataque prático mais poderoso que existe na atualidade. E se formos ver historicamente, é um dos maiores de sempre”, conclui Pedro Umbelino.
O investigador coloca a falha em perspetiva – recentemente, a Amazon bloqueou um dos maiores ataques de negação de serviço de sempre e que tinha origem, justamente, num ataque de amplificação. Só que o fator de multiplicação era ‘meramente’ de 55 vezes.
Impacto global
E como se a tipologia do ataque, por si só, não fosse já grave o suficiente, afeta equipamentos de um grande número de fabricantes de diferentes dispositivos, como são exemplos algumas máquinas virtuais da VMWare, impressoras Konica Minolta, módulos IBM e routers Planex, entre muitos outros equipamentos de outras marcas que não foi possível ainda identificar.
“Um dos problemas que nós tivemos em tentar identificar tudo o que está vulnerável a esta falha é que este protocolo foi implementado em diversos tipos de software e hardware. (…) Tens impressoras que estão na internet e são vulneráveis, routers e fotocopiadoras. Conseguimos detetar mais de 670 assinaturas de aparelhos diferentes. E provavelmente será muito difícil atualizá-los”.
Foi por este motivo que a Bitsight e a Curesec decidiram coordenar a revelação da vulnerabilidade com o CISA. Os diferentes fabricantes já foram alertados para a existência do problema. “Estávamos a tentar arranjar maneira de, de forma responsável, ir tentando resolver o problema ao longo do tempo. Mas era difícil pelo número de vendedores afetados”.
Algumas empresas cuja especialidade é justamente travar ataques de negação de serviço (como as gigantes Cloudflare e Google) também já foram notificadas para que possam ajudar a prevenir possíveis ataques que tirem partido da vulnerabilidade revelada nesta terça-feira. E Pedro Umbelino não tem dúvidas: “Existe uma alta probabilidade que [um ataque] aconteça – com sucesso ou não depende das respostas que as empresas conseguirem implementar”.
A recomendação técnica é que as empresas filtrem a porta 427 do protocolo UDP ou “desabilitem o serviço por completo”.
Por fim, mais um motivo de preocupação – se a sua empresa tiver um dispositivo vulnerável não significa obrigatoriamente que vai ser atacada, pode significar antes que os seus recursos vão ser usados para atacar outras empresas, adianta Pedro Umbelino.
“Não precisas de muitos serviços vulneráveis, desde que eles tenham boas ligações à internet, para conseguires ter quase uma bomba atómica nas mãos que te permita atacar quem tu quiseres, com poucos recursos. É isto que torna o ataque diferente e preocupante.”