Стотици хиляди устройства в публичния интернет са уязвими на нова схема на атаки за отказ от услуга (снимка: CC0 Public Domain)
Около 300 000 сървъра или устройства в публичния интернет са уязвими към наскоро разкрития Loop DoS метод за атаки, които причиняват отказ на услуга (DoS). Методът се прилага спрямо някои базирани на UDP услуги на ниво приложение.
Определени реализации на протоколите TFTP, DNS и NTP, както и наследени протоколи като Echo, Chargen и QOTD, са изложени на риск, твърди публикация на The Register. Използването на уязвимостта от атакуващите може да доведе до прекъсване на услугите и излизане от строя на цели машини или мрежи.
Съдейки по сканирането на DNS, NTP и TFTP, най-големият брой публично достъпни потенциално уязвими системи са в Китай, Русия и Америка, следвани от Иран, Южна Корея, Италия, Франция, Канада и Бразилия.
Методът на атаката беше разкрит по-рано тази седмица от изследователите Кристиан Росоу и Йепенг (Ерик) Пан от Центъра за информационна сигурност CISPA в Германия.
Схемата е доста тривиална и разчита основно на изпращане на съобщение за грешка до уязвим сървър А, използвайки подправяне на източника на IP адрес по такъв начин, че сървър А отговаря със съобщение за грешка до уязвим сървър Б. Последният изпраща съобщение за грешка до A, който отговаря на Б, а той отговаря на A отново и отново в безкраен цикъл.
Всичко, което атакуващите трябва да направят, е да изпратят достатъчно съобщения на сървър A, така че последвалата буря от UDP пакети между A и Б да погълне ресурсите на машините и да ги принуди да спрат да отговарят на легалните заявки. За всички нормални потребители сървърите ще изглеждат недостъпни.
„Например, представете си две услуги, които отговарят със съобщение за грешка, когато получават съобщение за грешка като вход”, описват схемата Росоу и Пан. „Ако грешка като вход създава грешка като изход и втора система се държи по същия начин, тези две системи ще продължат да изпращат съобщения за грешка напред и назад за неопределено време”.
Методът облагодетелства престъпниците по различни начини: не е необходимо да изпращат непрекъснати вълни от трафик, за да направят услугите недостъпни, и след като схемата се задейства, няма спиране, докато целевите машини или някой между тях не прекъсне безкрайния цикъл.
Подобен цикъл на приложния слой е известен проблем още през 1996 г., отбелязват специалистите от CISPA. „Доколкото знаем, този вид атака все още не е извършвана на терен. Би било обаче лесно за нападателите да се възползват от уязвимостта, ако не бъдат предприети действия за намаляване на риска”, предупреждава Росоу, тъй като „ летвата за това не е толкова висока”.
Изследователите вече са информирали за уязвимостта доставчици на рискови внедрявания и „общност на доверени оператори”, като се надяват последните да пуснат кръпки. Двамата експерти започват кампания за уведомяване в сътрудничество с фондацията с нестопанска цел Shadowserver.
Твърди се, че оборудването и софтуерът от Arris, Broadcom, Microsoft, Honeywell (CVE-2024-1309), Brother и MikroTik са сред уязвимите на Loop DoS. Освен това продукти на Cisco, TP-Link и Zyxel, излезли от поддръжка, се считат за изложени на риск.
Някои продукти от D-Link и PLANET Technology също се смятат за уязвими, но нито един от производителите не е потвърдил нищо официално. Същевременно експертите публикуваха код, с който потребителите могат да открият потенциално изложени на риск услуги в своята ИТ среда.