Serviço:
Apple Remote Desktop (ARD), Apple Remote Management Service (ARMS)
Descrição do serviço:
O serviço ARMS (Apple Remote Management Service) é um serviço executado em sistemas MAC OS X que é parte do serviço ARD (Apple Remote Desktop) e é habilitado na porta 3283/udp. Esses serviços são utilizados para fornecer acesso remoto e de gerenciamento para esses sistemas.
O recurso Apple Remote Desktop é o equivalente direto do Remote Desktop Protocol (RDP) da Microsoft.
Vulnerabilidade:
Pode ser abusado para fazer parte de ataques distribuídos de negação de serviço, consumindo recursos da sua rede e impactando terceiros.
Descrição do ataque:
O protocolo é baseado em UDP e pode ser explorado para ataques de negação de serviço que usem amplificação. O atacante envia uma requisição forjando o IP da vítima e o servidor com ARMS retorna uma resposta maior que a requisição.
O ARMS pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações, além de implicar em um consumo de banda maior.
O fator de amplificação é de 35,5. ¹
Verificação:
Windows
netstat -an | findstr [Porta]
Linux
netstat -an | grep [Porta]
Externo
nmap -sU -p[Porta] [IP]
O campo [Porta] deverá ser substituído pela porta notificada, por padrão é a 3283.
Solução:
O serviço deve ser desabilitado. Caso seja necessário ele deve ser bloqueado usando filtro de pacotes / firewall ou configurado de forma a limitar o acesso apenas à rede local ou aos IPs que necessitem desse acesso. ¹
Referências:
https://en.wikipedia.org/wiki/Apple_Remote_Desktop
https://www.cert.br/docs/whitepapers/ddos/
https://www.netscout.com/blog/asert/call-arms-apple-remote-management-service-udp
¹ https://www.zdnet.com/article/macos-systems-abused-in-ddos-attacks/
https://duo.com/decipher/fbi-warns-of-ddos-attacks-abusing-network-protocols
https://commons.lbl.gov/display/itdivision/2019/07/17/Apple+Remote+Management+Service+Abuse
https://nsfocusglobal.com/fbi-warning-new-ddos-reflection-attacks-are-coming-are-you-ready/