Μια νέα επίθεση άρνησης παροχής υπηρεσιών με την ονομασία "Loop DoS" που στοχεύει σε πρωτόκολλα επιπέδου εφαρμογής μπορεί να συνδέσει υπηρεσίες δικτύου σε έναν αόριστο βρόχο επικοινωνίας που δημιουργεί μεγάλο όγκο κίνησης.

Η επίθεση που επινοήθηκε από ερευνητές του CISPA Helmholtz-Center for Information Security, χρησιμοποιεί το πρωτόκολλο User Datagram Protocol (UDP) και επηρεάζει περίπου 300.000 κεντρικούς υπολογιστές και τα δίκτυά τους.

Η επίθεση είναι δυνατή λόγω μιας ευπάθειας, η οποία επί του παρόντος παρακολουθείται ως CVE-2024-2169, στην υλοποίηση του πρωτοκόλλου UDP, το οποίο είναι ευάλωτο στην παραποίηση IP και δεν παρέχει επαρκή επαλήθευση πακέτων.

Ένας επιτιθέμενος που εκμεταλλεύεται την ευπάθεια δημιουργεί έναν αυτοτροφοδοτούμενο μηχανισμό που παράγει υπερβολική κίνηση χωρίς όρια και χωρίς τρόπο να τη σταματήσει, οδηγώντας σε κατάσταση άρνησης παροχής υπηρεσιών (DoS) στο σύστημα-στόχο ή ακόμη και σε ολόκληρο το δίκτυο.

Το Loop DoS βασίζεται στην παραποίηση IP και μπορεί να ενεργοποιηθεί από έναν μόνο υπολογιστή που στέλνει ένα μήνυμα για να ξεκινήσει η επικοινωνία.

Σύμφωνα με το Carnegie Mellon CERT Coordination Center (CERT/CC) υπάρχουν τρία πιθανά αποτελέσματα όταν ένας επιτιθέμενος εκμεταλλεύεται την ευπάθεια:

  • Υπερφόρτωση μιας ευάλωτης υπηρεσίας και πρόκληση αστάθειας ή αχρηστίας της.
  • Επίθεση DoS στο δίκτυο κορμού, προκαλώντας διακοπές δικτύου σε άλλες υπηρεσίες.
  • Επιθέσεις ενίσχυσης που περιλαμβάνουν βρόχους δικτύου που προκαλούν ενισχυμένες επιθέσεις DOS ή DDOS.


Οι ερευνητές του CISPA Yepeng Pan και ο καθηγητής Dr. Christian Rossow λένε ότι ο δυνητικός αντίκτυπος είναι αξιοσημείωτος, καθώς καλύπτει τόσο ξεπερασμένα (QOTD, Chargen, Echo) όσο και σύγχρονα πρωτόκολλα (DNS, NTP, TFTP) που είναι ζωτικής σημασίας για βασικές λειτουργίες που βασίζονται στο διαδίκτυο, όπως ο συγχρονισμός του χρόνου, η ανάλυση ονομάτων τομέων και η μεταφορά αρχείων χωρίς έλεγχο ταυτότητας.

"Εάν δύο διακομιστές εφαρμογών έχουν μια ευάλωτη υλοποίηση του εν λόγω πρωτοκόλλου, ένας εισβολέας μπορεί να ξεκινήσει μια επικοινωνία με τον πρώτο διακομιστή, παραποιώντας τη διεύθυνση δικτύου του δεύτερου διακομιστή (θύμα)", εξηγεί το CERT/CC.

"Σε πολλές περιπτώσεις, ο πρώτος διακομιστής θα απαντήσει με ένα μήνυμα σφάλματος στο θύμα, το οποίο θα προκαλέσει επίσης μια παρόμοια συμπεριφορά ενός άλλου μηνύματος σφάλματος πίσω στον πρώτο διακομιστή" - CERT Coordination Center

Αυτή η διαδικασία συνεχίζεται μέχρι να εξαντληθούν πλήρως όλοι οι διαθέσιμοι πόροι, καθιστώντας τους διακομιστές μη ανταποκρινόμενους σε νόμιμα αιτήματα.

Συνολικά, εκτιμάται ότι 300.000 κεντρικοί υπολογιστές του διαδικτύου είναι ευάλωτοι σε επιθέσεις Loop DoS.

Οι ερευνητές προειδοποίησαν ότι η επίθεση είναι εύκολο να αξιοποιηθεί, σημειώνοντας ότι δεν υπάρχουν στοιχεία που να υποδεικνύουν ενεργή εκμετάλλευση προς το παρόν.

Οι Rossow και Pan μοιράστηκαν τα ευρήματά τους με τους επηρεαζόμενους προμηθευτές και ενημέρωσαν το CERT/CC για συντονισμένη αποκάλυψη.

Μέχρι στιγμής, οι προμηθευτές που επιβεβαίωσαν ότι οι υλοποιήσεις τους επηρεάζονται από το CVE-2024-2169 είναι οι Broadcom, Cisco, Honeywell, Microsoft και MikroTik.

Για να αποφύγετε τον κίνδυνο άρνησης παροχής υπηρεσιών μέσω Loop DoS, το CERT/CC συνιστά την εγκατάσταση των τελευταίων patches από τους προμηθευτές που αντιμετωπίζουν την ευπάθεια και την αντικατάσταση των προϊόντων που δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας.

Η χρήση κανόνων τείχους προστασίας και λιστών ελέγχου πρόσβασης για εφαρμογές UDP, η απενεργοποίηση περιττών υπηρεσιών UDP και η εφαρμογή επικύρωσης TCP ή αιτήσεων είναι επίσης μέτρα που μπορούν να μειώσουν τον κίνδυνο επίθεσης.

Επιπλέον, ο οργανισμός συνιστά την ανάπτυξη λύσεων κατά του spoofing, όπως το BCP38 και το Unicast Reverse Path Forwarding (uRPF), καθώς και τη χρήση μέτρων ποιότητας υπηρεσιών (QoS) για τον περιορισμό της κίνησης δικτύου και την προστασία από την κατάχρηση από βρόχους δικτύου και ενισχύσεις DoS.

πηγή via DeepL