Den 19. marts 2024 afslørede et forskerhold ledet af professor dr. Christian Rossow ved CISPA Helmholtz Center for Information Security i Tyskland en betydelig sikkerhedstrusselDenne trussel udnyttede en udbredt sårbarhed i applikationslagstjenester, der bruger User Datagram Protocol (UDP). Spores via identifikatoren CVE-2024-2169, udgjorde denne sårbarhed en alvorlig risiko for stabiliteten og sikkerheden i adskillige systemer.
Detaljer om Loop DoS-angreb
Angrebsvektoren, som beskrevet af forskerne, involverede manipulation af UDP-datagrammer for at skabe en evig løkke mellem sårbare servere. Ved at fremstille en specifik nyttelast kunne angribere fremprovokere et fejlsvar fra en sårbar server, hvilket fik den til at sende et fejldatagram til en anden sårbar server. Denne udveksling ville fortsætte på ubestemt tid og overbelaste de involverede systemer. Vigtigt er det, at UDP-kommunikationens natur tillod denne løkke at fortsætte upåvirket af IP Time-to-Live (TTL) hop-tællerbegrænseren.
For at udføre dette angreb skulle angriberen identificere mindst ét yderligere sårbart system, der kører den samme tjeneste som målet. Ved at forfalske kilde-IP-adressen for den oprindelige anmodning kunne angriberen narre offeret til at svare på en anden sårbar server og dermed starte løkken. Denne proces kunne forstærkes ved at oprette flere løkker mellem forskellige sårbare systemer, hvilket potentielt kan føre til en kaskadeeffekt, der kan overbelaste målet.
De berørte tjenester omfattede en bred vifte af udbredte protokoller, herunder DNS, TFTP, NTP, Echo, Opladningog QOTDSårbarheden i NTP påvirkede primært systemer, der brugte forældede versioner af ntpd fra før 2010. Derudover viste ældre protokoller som Echo, Chargen, QOTD, Time, Daytime og Active Users sig at være iboende sårbare. Mens TFTP og DNS stadig var under efterforskning, understregede forskerne behovet for yderligere input fra operatører af sårbare systemer for fuldt ud at forstå omfanget af deres sårbarheder.
Konsekvenserne af denne sårbarhed var bekymrende på grund af UDP's statsløse karakter, hvilket gjorde legitime tjenester sårbare over for misbrug DDoS-angreb med volumetrisk forstærkningMed tilføjelsen af loop DoS-angreb steg potentialet for afbrydelser og skader betydeligt. Forskerne anslog, at ca. 300,000 internetudbydere var sårbare at loope DoS-angreb.
Loop DoS-sårbare systemer
Det blev bydende nødvendigt at opdage sårbare systemer for at afbøde den risiko, som denne sårbarhed udgør. Forskerne ved CISPA udviklet et værktøj til at scanne for og identificere systemer, der er modtagelige for de angrebsnyttelaster, de havde opdaget. Dette værktøj gav et middel til at vurdere og håndtere sårbarheden, især for tjenester som DNS, TFTP og NTP, for hvilke angrebsnyttelaster var defineret i simple_verify.py Python-script.
Loop DoS-beskyttelse
Anbefalingerne omfatter minimering af eksponering af UDP-baserede tjenester, rettidig sikkerhedsopdatering og implementering af robuste beskyttelsesforanstaltninger mod misbrug og unormal aktivitet.
Gennemførelse DDoS beskyttelse løsninger, som f.eks RELIANOID IPDS er nødvendige for at opretholde vores tjenesters sikkerhed:
Hybrid DDoS-forsvarKombinér lokal og cloudbaseret beskyttelse for at forsvare dig mod DDoS-angreb i realtid. Denne strategi håndterer både store angreb og forhindrer netværksmætning.
Detektion af adfærdsmæssige anomalierBrug avancerede detektionssystemer til hurtigt at identificere og blokere usædvanlig netværksadfærd, samtidig med at legitim trafik kan flyde uafbrudt.
Hurtig signaturgenereringGenerer sikkerhedssignaturer i realtid for hurtigt at forsvare mod ukendte trusler og zero-day-angreb, hvilket forbedrer den samlede netværkssikkerhed.
Planlægning af cybersikkerhedsberedskabEtablere et specialiseret team, der er udstyret til at håndtere cybersikkerhedskriser, især dem, der er relateret til sikkerhedsbrud i forbindelse med tingenes internet (IoT).
TrusselsaktørintelligensUdnyt omfattende dataanalyse til proaktivt at identificere og afbøde trusler fra kendte angribere, hvilket styrker netværkets modstandsdygtighed over for udviklende cybersikkerhedsrisici.
RELIANOID ADC mod Loop DoS-angreb
RELIANOID ADC tilbyder robuste løsninger, der kan hjælpe med at beskytte og afbøde systemer mod loop DoS (Denial of Service)-angreb. En primær metode er gennem trafikinspektion og intelligente filtreringsfunktioner. RELIANOID load balancer og applikationsleveringscontroller (ADC) kan analysere indgående trafikmønstre og registrere uregelmæssigheder, der indikerer et loop-DoS-angreb. Ved at identificere og blokere ondsindet trafik forhindrer disse systemer, at loop'en fortsætter mellem sårbare servere.
Desuden RELIANOID ADC inkluderer ofte funktioner som hastighedsbegrænsning og forbindelsesbegrænsning. Disse funktionaliteter kan hjælpe med at forhindre forstærkning af loop DoS-angreb ved at begrænse den hastighed, hvormed anmodninger behandles eller forbindelser etableres. Ved at indføre grænser for trafikmængden eller hyppigheden af anmodninger fra individuelle kilder, RELIANOID LB-løsninger kan afbøde virkningen af loop DoS-angreb og sikre systemernes stabilitet og tilgængelighed.
Endvidere RELIANOID Produkter understøtter typisk detaljerede adgangskontrol- og godkendelsesmekanismer. Ved at håndhæve strenge adgangspolitikker og verificere legitimiteten af indgående anmodninger kan disse løsninger effektivt blokere uautoriseret trafik, der forsøger at udnytte sårbarheder og starte loop-DoS-angreb. Derudover leveres avancerede logførings- og rapporteringsfunktioner af RELIANOID Platforme gør det muligt for administratorer at overvåge netværksaktivitet nøje, hvilket letter tidlig opdagelse og reaktion på potentielle trusler, herunder loop DoS-angreb.
Alt i alt, RELIANOID ADC's omfattende pakke af load balancing- og applikationsleveringsløsninger giver organisationer mulighed for at forbedre deres cybersikkerhedsposition og forsvare sig mod loop DoS-angreb ved at udnytte intelligent trafikanalyse, hastighedsbegrænsning, adgangskontrol og robuste logføringsfunktioner. Kontakt vores sikkerhedseksperter.
Relaterede blogs
