Descobriu-se que um novo vetor de ataque de negação de serviço (DoS) tem como alvo protocolos de camada de aplicação baseados em Consumer Datagram Protocol (UDP), colocando provavelmente centenas de milhares de hosts em risco.
Chamado Ataques DoS em loopa abordagem emparelha “servidores desses protocolos de tal forma que eles se comunicam entre si indefinidamente”, disseram pesquisadores do CISPA Helmholtz-Heart for Data Safety.
O UDP, por definição, é um protocolo sem conexão que não valida endereços IP de origem, tornando-o suscetível à falsificação de IP.
Assim, quando os invasores falsificam vários pacotes UDP para incluir o endereço IP da vítima, o servidor de destino responde à vítima (em oposição ao ator da ameaça), criando um ataque de negação de serviço (DoS) refletido.
O estudo mais recente descobriu que certas implementações do protocolo UDP, como DNS, NTP, TFTP, Lively Customers, Daytime, Echo, Chargen, QOTD e Time, podem ser transformadas em armas para criar um loop de ataque que se autoperpetua.
“Ele emparelha dois serviços de rede de tal forma que eles continuam respondendo às mensagens um do outro indefinidamente”, disseram os pesquisadores. “Ao fazer isso, eles criam grandes volumes de tráfego que resultam em negação de serviço para os sistemas ou redes envolvidos. Depois que um gatilho é injetado e o loop é acionado, mesmo os invasores são incapazes de impedir o ataque”.
Simplificando, dados dois servidores de aplicativos executando uma versão vulnerável do protocolo, um agente de ameaça pode iniciar a comunicação com o primeiro servidor falsificando o endereço do segundo servidor, fazendo com que o primeiro servidor responda à vítima (ou seja, o segundo servidor). com uma mensagem de erro.
A vítima, por sua vez, também apresentará comportamento semelhante, enviando de volta outra mensagem de erro ao primeiro servidor, esgotando efetivamente os recursos um do outro e fazendo com que qualquer um dos serviços deixe de responder.
“Se um erro como entrada cria um erro como saída, e um segundo sistema se comporta da mesma forma, esses dois sistemas continuarão enviando mensagens de erro indefinidamente”, explicaram Yepeng Pan e Christian Rossow.
A CISPA disse que cerca de 300 mil hosts e suas redes podem ser abusados para realizar ataques Loop DoS.
Embora atualmente não haja evidências de que o ataque tenha sido armado, os pesquisadores alertaram que a exploração é trivial e que vários produtos da Broadcom, Cisco, Honeywell, Microsoft, MikroTik e Zyxel são afetados.
“Os invasores precisam de um único host com capacidade de falsificação para acionar loops”, observaram os pesquisadores. “Como tal, é importante manter iniciativas para filtrar tráfego falsificado, como o BCP38.”
