Besuchen Sie uns auf der it-sa 2024!
Home>
SSDP
02
Trotz seiner Nützlichkeit birgt SSDP auch Sicherheitsrisiken: SSDP kann für DDoS-Amplifikationsangriffe missbraucht werden. Angreifer senden dabei manipulierte SSDP-Anfragen an mehrere anfällige Geräte (Hosts), die dann mit deutlich größeren Antworten reagieren und damit über eine gespoofte IP-Adresse das Zielsystem belasten. Hierdurch wird das Anfragevolumen um ein Vielfaches vergr ößert.
Laut der US-Cybersicherheitsbehörde CISA lassen sich Angriffe mittels SSDP um den Faktor 30 verstärken. Für die betroffenen Ziele ist der Ursprung der Attacke im akuten Angriffsfall nicht nachvollziehbar, da der Traffic von herkömmlichen Hosts stammt.
Um die mit SSDP verbundenen Risiken zu minimieren, empfehlen sich folgende Sicherheitsmaßnahmen:
Beschränkung des Zugriffs von Geräten mit aktiviertem SSDP auf vertrauenswürdige und interne Netzwerke
Strikte Isolation von Geräten mit aktiviertem SSDP gegenüber kritischen Systemen und Ressourcen
Regelmäßige Aktualisierung von Firmwares und Programmen auf Geräten, um bekannte Schwachstellen zu beheben
Einsatz von Netzwerküberwachungstools, um ungewöhnliche SSDP-Verkehrsmuster zu erkennen und zu analysieren
Deaktivierung von SSDP auf Geräten, wenn es nicht erforderlich ist
Implementierung von ACLs auf Layer-3-Schnittstellen, um SSDP-Verkehr zu begrenzen