Er is ontdekt dat een nieuwe denial-of-service (DoS)-aanvalsvector zich richt op applicatielaagprotocollen op basis van User Datagram Protocol (UDP), waardoor honderdduizenden hosts waarschijnlijk gevaar lopen.
Genaamd Loop DoS-aanvallenVolgens onderzoekers van het CISPA Helmholtz-Center for Information Security worden de servers van deze protocollen zo gekoppeld dat ze voor onbepaalde tijd met elkaar kunnen communiceren.
UDP is van nature een verbindingsloos protocol dat de bron-IP-adressen niet valideert, waardoor het gevoelig is voor IP-spoofing.
Wanneer aanvallers dus verschillende UDP-pakketten vervalsen om het IP-adres van een slachtoffer op te nemen, reageert de doelserver op het slachtoffer (in tegenstelling tot de bedreigingsacteur), waardoor een gereflecteerde denial-of-service (DoS)-aanval ontstaat.
Uit het laatste onderzoek is gebleken dat bepaalde implementaties van het UDP-protocol, zoals DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD en Time, kunnen worden bewapend om een zichzelf in stand houdende aanvalslus te creëren.
“Het koppelt twee netwerkdiensten zo dat ze voor onbepaalde tijd op elkaars berichten blijven reageren”, aldus de onderzoekers. “Hierdoor creëren ze grote verkeersvolumes die resulteren in een denial-of-service voor de betrokken systemen of netwerken. Zodra een trigger is geïnjecteerd en de lus in beweging is gezet, zijn zelfs de aanvallers niet meer in staat de aanval te stoppen.”
Simpel gezegd: gegeven twee applicatieservers die een kwetsbare versie van het protocol draaien, kan een bedreigingsactor de communicatie met de eerste server initiëren door het adres van de tweede server te spoofen, waardoor de eerste server op het slachtoffer reageert (dwz de tweede server). met een foutmelding.
Het slachtoffer zal op zijn beurt ook soortgelijk gedrag vertonen, waarbij hij nog een foutmelding naar de eerste server stuurt, waardoor elkaars hulpbronnen effectief worden uitgeput en een van de services niet meer reageert.
“Als een fout als invoer een fout als uitvoer creëert, en een tweede systeem zich hetzelfde gedraagt, zullen deze twee systemen voor onbepaalde tijd foutmeldingen heen en weer blijven sturen”, legden Yepeng Pan en Christian Rossow uit.
CISPA zei dat naar schatting 300.000 hosts en hun netwerken kunnen worden misbruikt om Loop DoS-aanvallen uit te voeren.
Hoewel er momenteel geen bewijs is dat de aanval in het wild is bewapend, waarschuwden de onderzoekers dat de exploitatie triviaal is en dat meerdere producten van Broadcom, Cisco, Honeywell, Microsoft, MikroTik en Zyxel worden getroffen.
“Aanvallers hebben één enkele host nodig die geschikt is voor spoofing om loops te activeren”, merkten de onderzoekers op. “Daarom is het belangrijk om initiatieven te blijven volgen om vervalst verkeer te filteren, zoals BCP38.”
