Serviço:
Multicast DNS (mDNS)
Descrição do serviço:
O mDNS é um protocolo DNS Multicast. Um “multicast” repassa a mesma mensagem para vários pontos em uma rede. O mDNS é um método para descoberta de vizinhos de uma rede, indicado para redes pequenas sem servidores DNS próprios. Por padrão usa a porta 5353/UDP.
Vulnerabilidade:
Pode ser utilizado para ataques de negação de serviço, distribuído e com reflexão e amplificação. Além disso, qualquer usuário da internet pode obter informações sensíveis sobre a rede local.
Descrição do ataque:
https://www.kb.cert.org/vuls/id/550620
https://www.security.unicamp.br/blog/24-amplificacao-udp/
Verificação:
- https://vtest.cais.rnp.br/cgi-bin/check_vul.pl
- dig +short @[IP] -p 5353 -t any _services._dns-sd._udp.local
O teste deve ser feito de fora da rede local
Solução:
- Não deixar esse serviço público para toda a internet. Limitar acesso via firewall ou configuração do serviço.
- Não executar o serviço como root.
- Não utilizar pois esse protocolo não tem uso prático e não é necessário dentro da rede da instituição.
http://wiki.nti.furg.br/wiki/seguranca/desativar_dns_e_mdns
Referências:
https://en.wikipedia.org/wiki/Multicast_DNS
https://www.security.ufrj.br/tutoriais/tratamento-de-hosts-vulneraveis-executando-protocolo-mdns/