新的循環 DoS 攻擊方法将影響數十萬互聯網系統

發布日期:2024-03-29首頁 > 安全資(zī)訊

         德國 CISPA 亥姆霍茲信息安全中(zhōng)心的研究人員(yuán)披露了一(yī)種新的拒絕服務 (DoS) 攻擊向量的詳細信息,該攻擊向量會影響多種廣泛使用的基于 UDP 的應用程序協議和數十萬個面向互聯網的系統。

 專家們演示了一(yī)種循環 DoS 攻擊,攻擊者使用 IP 欺騙讓兩台服務器通過它們都使用的協議無限期地相互通信。

 “新發現的 DoS 循環攻擊是自我(wǒ)延續的,并且針對應用層消息。它将兩個網絡服務配對,使它們能夠無限期地響應彼此的消息。這樣做會産生(shēng)大(dà)量流量,導緻相關系統或網絡拒絕服務。”研究人員(yuán)解釋道。

 “一(yī)旦注入觸發器并啓動循環,即使是攻擊者也無法阻止攻擊。以前已知(zhī)的循環攻擊發生(shēng)在單個網絡的路由層上,并且僅限于有限數量的循環叠代,”他們補充道。

 除了允許攻擊者導緻目标服務變得不穩定或無法使用,或者通過針對網絡骨幹網造成網絡中(zhōng)斷之外(wài),該技術還可用于 DoS 或 DDoS 攻擊放(fàng)大(dà)。

 已确認受影響的協議列表包括 NTP、DNS 和 TFTP,以及 Echo、Chargen 和 QOTD 等舊(jiù)協議。然而,專家認爲其他幾個人也可能受到影響。

 研究人員(yuán)估計,大(dà)約有 300,000 台互聯網主機受到影響,其中(zhōng)包括近 90,000 台使用 NTP 的主機、63,000 台使用 DNS 的主機、56,000 台使用 Echo 的主機,以及大(dà)約 20,000 台使用 TFTP、Chargen 和 QOTD 的主機。就 NTP 而言,易受攻擊的系統可能是使用2010 年之前發布的ntpd版本的系統,已知(zhī)這些系統受到跟蹤爲 CVE-2009-3563 的 DoS 漏洞的影響。

 目前沒有證據表明這種攻擊方法已在野外(wài)用于惡意目的,但研究人員(yuán)警告說,利用這種攻擊方法很容易,并敦促受影響的實體(tǐ)采取行動。

 新的 CVE 标識符 CVE-2024-1309 和 CVE-2024-2169 已分(fēn)配給新循環 DoS 攻擊中(zhōng)涉及的漏洞。

 根據卡内基梅隆大(dà)學 CERT 協調中(zhōng)心的一(yī)份報告,CVE-2024-2169 已被确認影響 Broadcom、Honeywell、Microsoft 和 MikroTik 的産品。潛在受影響的供應商(shāng)已于 2023 年 12 月收到通知(zhī)。

 博通表示,隻有一(yī)些較舊(jiù)的路由器受到影響,并已針對這些路由器發布了補丁。微軟表示,針對其産品的攻擊不會導緻主機崩潰,但該公司未來将考慮修複Windows中(zhōng)的問題。MikroTik 很快就會發布補丁。

 此外(wài),思科确認了 CVE-2009-3563 的影響,并于 2009 年解決了該問題。Zyxel 确認一(yī)些停産産品受到影響,但它們不會收到補丁。

 在研究人員(yuán)發布的  一(yī)份咨詢報告中(zhōng),他們推薦了幾種預防和反應措施。

 “一(yī)次性修複所有這些服務器似乎不切實際。更糟糕的是,雖然我(wǒ)們知(zhī)道一(yī)些受影響的産品和軟件,但我(wǒ)們還無法歸因于我(wǒ)們發現的大(dà)量(約 80%)易受濫用的系統,”他們說。

 至于反應措施,他們建議防禦者在發生(shēng)攻擊時中(zhōng)斷 DoS 循環。

 “攻擊流量中(zhōng)任何類型的數據包丢失都會終止循環,并迫使攻擊者重新初始化循環。因此,丢包有效地将應用層循環攻擊降級爲放(fàng)大(dà)攻擊。”他們解釋道。

 

轉載自安全客