Uygulama katmanı protokollerini hedef alan 'Loop DoS' adı verilen yeni bir hizmet reddi saldırısı, ağ hizmetlerini büyük hacimli trafik oluşturan belirsiz bir iletişim döngüsüyle eşleştirebilir.
CISPA Helmholtz-Bilgi Güvenliği Merkezi'ndeki araştırmacılar tarafından tasarlanan saldırı, Kullanıcı Datagram Protokolü'nü (UDP) kullanıyor ve tahmini 300.000 ana bilgisayarı ve bunların ağlarını etkiliyor.
Saldırının, UDP protokolünün uygulanmasında şu anda CVE-2024-2169 olarak izlenen, IP sahtekarlığına duyarlı ve yeterli paket doğrulaması sağlamayan bir güvenlik açığı nedeniyle mümkün olduğu belirtiliyor.
Bu güvenlik açığından yararlanan bir saldırgan, sınırsız ve durdurmanın bir yolu olmayan aşırı trafik üreten, kendi kendine devam eden bir mekanizma oluşturur ve bu da hedef sistemde, hatta tüm ağda hizmet reddi (DoS) durumuna yol açar.
Loop DoS, IP sahtekarlığına dayanır ve iletişimi başlatmak için bir mesaj gönderen tek bir ana bilgisayardan tetiklenebilir.
Carnegie Mellon CERT Koordinasyon Merkezi'ne (CERT/CC) göre bir saldırganın bu güvenlik açığından yararlanmasının üç olası sonucu vardır:
- Savunmasız bir hizmetin aşırı yüklenmesi ve bunun kararsız veya kullanılamaz hale gelmesine neden olması.
- Ağ omurgasına yapılan DoS saldırısı, diğer hizmetlerde ağ kesintilerine neden olur.
- Güçlendirilmiş DOS veya DDOS saldırılarına neden olan ağ döngülerini içeren güçlendirme saldırıları.
CISPA araştırmacıları Yepeng Pan ve Profesör Dr. Christian Rossow, potansiyel etkinin kayda değer olduğunu, hem eski (QOTD, Chargen, Echo) hem de zaman senkronizasyonu gibi temel internet tabanlı işlevler için hayati önem taşıyan modern protokolleri (DNS, NTP, TFTP) kapsadığını söylüyor. alan adı çözümlemesi ve kimlik doğrulaması olmadan dosya aktarımı.
CERT/CC, “İki uygulama sunucusunun söz konusu protokolün güvenlik açığına sahip bir uygulaması varsa, bir saldırgan ikinci sunucunun (kurbanın) ağ adresini taklit ederek ilk sunucuyla iletişim başlatabilir” diye açıklıyor.
“Birçok durumda, ilk sunucu kurbana bir hata mesajıyla yanıt verir, bu da ilk sunucuya gönderilen başka bir hata mesajının benzer davranışını tetikler” – CERT Koordinasyon Merkezi
Bu süreç, mevcut tüm kaynaklar tamamen tükenene ve sunucuların meşru isteklere yanıt vermemesine neden olana kadar devam eder.
Toplamda 300.000 internet ana bilgisayarının Loop DoS saldırılarına karşı savunmasız olduğu tahmin ediliyor.
Araştırmacılar, şu anda aktif istismara işaret eden hiçbir kanıt bulunmadığını belirterek, saldırıdan yararlanmanın kolay olduğu konusunda uyardı.
Rossow ve Pan, bulgularını etkilenen tedarikçilerle paylaştı ve koordineli açıklama için CERT/CC'yi bilgilendirdi.
Şu ana kadar uygulamalarının CVE-2024-2169'dan etkilendiğini doğrulayan satıcılar Broadcom, Cisco, Honeywell, Microsoft ve MikroTik'tir.
Döngü DoS aracılığıyla hizmet reddi riskini önlemek için CERT/CC, güvenlik açığını gideren ve artık güvenlik güncellemeleri almayan ürünleri değiştiren satıcıların en son yamalarını yüklemenizi önerir.
UDP uygulamaları için güvenlik duvarı kurallarının ve erişim kontrol listelerinin kullanılması, gereksiz UDP hizmetlerinin kapatılması ve TCP veya istek doğrulamanın uygulanması da saldırı riskini azaltabilecek önlemlerdir.
Ayrıca kuruluş, BCP38 ve Tek Noktaya Yayın Ters Yol İletme (uRPF) gibi sahteciliğe karşı çözümlerin dağıtılmasını ve ağ trafiğini sınırlandırmak ve ağ döngüleri ile DoS yükseltmelerinden kaynaklanan kötüye kullanıma karşı koruma sağlamak için Hizmet Kalitesi (QoS) önlemlerinin kullanılmasını önermektedir.