Yeni bir hizmet reddi (DoS) saldırı vektörünün, Kullanıcı Datagram Protokolü'ne (UDP) dayalı uygulama katmanı protokollerini hedef alarak yüz binlerce ana bilgisayarı büyük olasılıkla riske attığı bulunmuştur.
İsminde Döngü DoS saldırılarıCISPA Helmholtz Bilgi Güvenliği Merkezi'nden araştırmacılar, yaklaşımın “bu protokollerin sunucularını birbirleriyle süresiz olarak iletişim kuracak şekilde” eşleştirdiğini söyledi.
UDP, tasarımı gereği, kaynak IP adreslerini doğrulamayan, IP sahtekarlığına karşı duyarlı hale getiren bağlantısız bir protokoldür.
Bu nedenle, saldırganlar kurbanın IP adresini içerecek şekilde birkaç UDP paketi oluşturduğunda, hedef sunucu (tehdit aktörünün aksine) kurbana yanıt vererek yansıtılmış bir hizmet reddi (DoS) saldırısı oluşturur.
Son çalışma, UDP protokolünün DNS, NTP, TFTP, Aktif Kullanıcılar, Gündüz, Echo, Chargen, QOTD ve Time gibi belirli uygulamalarının, kendi kendini sürdüren bir saldırı döngüsü oluşturmak için silah haline getirilebileceğini buldu.
Araştırmacılar, “İki ağ hizmetini, birbirlerinin mesajlarına süresiz olarak yanıt vermeye devam edecek şekilde eşleştiriyor” dedi. “Bunu yaparken, ilgili sistemler veya ağlar için hizmet reddiyle sonuçlanan büyük miktarda trafik yaratıyorlar. Bir tetikleyici enjekte edildiğinde ve döngü harekete geçtiğinde, saldırganlar bile saldırıyı durduramaz.”
Basitçe söylemek gerekirse, protokolün savunmasız bir sürümünü çalıştıran iki uygulama sunucusu göz önüne alındığında, bir tehdit aktörü, ikinci sunucunun adresini taklit ederek birinci sunucuyla iletişimi başlatabilir ve birinci sunucunun kurbana (yani ikinci sunucuya) yanıt vermesine neden olabilir. bir hata mesajıyla.
Kurban da benzer davranışlar sergileyecek, ilk sunucuya başka bir hata mesajı gönderecek, birbirlerinin kaynaklarını etkili bir şekilde tüketecek ve hizmetlerden herhangi birinin yanıt vermemesine neden olacaktır.
Yepeng Pan ve Christian Rossow, “Girişteki bir hata, çıkışta da bir hata yaratırsa ve ikinci bir sistem de aynı şekilde davranırsa, bu iki sistem süresiz olarak ileri geri hata mesajları göndermeye devam edecektir.” dedi.
CISPA, tahminen 300.000 ana bilgisayarın ve ağlarının Loop DoS saldırıları gerçekleştirmek için kötüye kullanılabileceğini söyledi.
Şu anda saldırının silah olarak kullanıldığına dair bir kanıt olmasa da araştırmacılar, istismarın önemsiz olduğu ve Broadcom, Cisco, Honeywell, Microsoft, MikroTik ve Zyxel'in birden fazla ürününün etkilendiği konusunda uyardı.
Araştırmacılar, “Saldırganların döngüleri tetiklemek için kimlik sahtekarlığı yapabilen tek bir ana bilgisayara ihtiyacı var” dedi. “Bu nedenle, sahte trafiği filtrelemek için BCP38 gibi girişimleri sürdürmek önemlidir.”