Se ha descubierto que un novedoso vector de ataque de denegación de servicio
(DoS) que se dirige a protocolos de capa de aplicación basados en el protocolo
UDP, poniendo en riesgo a cientos de miles de hosts.
Llamados ataques
Loop DoS, el enfoque empareja
«servidores de estos protocolos de tal manera que se comunican entre sí
indefinidamente»,
dijeron investigadores
del Centro CISPA Helmholtz de Alemania.
UDP, por diseño, es un protocolo sin conexión que no valida las direcciones IP
de origen, lo que lo hace susceptible a la suplantación de IP. Por lo tanto,
cuando los atacantes falsifican varios paquetes UDP para incluir la dirección
IP de la víctima, el servidor de destino responde a la víctima, creando un
ataque de denegación de servicio (DoS) reflejado.
El último estudio encontró que ciertas implementaciones del protocolo UDP,
como DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD y Time,
pueden usarse como armas para crear un bucle de ataque que se perpetúa a sí
mismo.
«Emparejar dos servicios de red de tal manera que siguen respondiendo
indefinidamente a los mensajes del otro. Al hacerlo, crean grandes volúmenes
de tráfico que resultan en una denegación de servicio para los sistemas o
redes involucradas. Una vez que se inyecta un disparador y el bucle se pone
en movimiento, ni siquiera los atacantes pueden detener el ataque».
En pocas palabras, dados dos servidores de aplicaciones que ejecutan una
versión vulnerable del protocolo, un actor de amenazas puede iniciar la
comunicación con el primer servidor falsificando la dirección del segundo
servidor, lo que hace que el primer servidor responda a la víctima (es decir,
el segundo servidor) con un mensaje de error.
La víctima, a su vez, también mostrará un comportamiento similar, enviando
otro mensaje de error al primer servidor, agotando efectivamente los recursos
de cada uno y haciendo que cualquiera de los servicios no responda.
«Si un error como entrada crea un error como salida, y un segundo sistema
se comporta igual, estos dos sistemas seguirán enviando mensajes de error de
un lado a otro indefinidamente»,
explicaron Yepeng Pan y Christian Rossow.
CISPA dijo que se estima que se puede abusar de 300.000 hosts y sus redes para
llevar a cabo ataques Loop DoS.
Si bien actualmente no hay evidencia de que el ataque haya sido utilizado como
arma en la naturaleza, los investigadores advirtieron que la explotación es
trivial y que múltiples productos de Broadcom, Cisco, Honeywell, Microsoft,
MikroTik y Zyxel se ven afectados.
«Los atacantes necesitan un único host con capacidad de suplantación de
identidad para activar los bucles», señalaron los investigadores.
«Como tal, es importante mantener iniciativas para filtrar el tráfico
falsificado, como
BCP38«.
El documento técnico se encuentra disponible de forma pública.
Fuente:
THN
Los comentarios están cerrados.