Novo ataque 'Loop DoS' pode afetar até 300.000 sistemas online
21 de Março de 2024

Um novo ataque de negação de serviço, apelidado de 'Loop DoS', mirando protocolos de camada de aplicação, pode emparelhar serviços de rede em um loop de comunicação indefinido que cria grandes volumes de tráfego.

Planejado por pesquisadores no CISPA Helmholtz-Center for Information Security, o ataque usa o Protocolo de Datagramas do Usuário (UDP) e afeta cerca de 300.000 hosts e suas redes.

O ataque é possível devido a uma vulnerabilidade, atualmente rastreada como CVE-2024-2169, na implementação do protocolo UDP, que é suscetível a spoofing de IP e não fornece verificação suficiente de pacotes.

Um invasor que explora a vulnerabilidade cria um mecanismo autopropelente que gera tráfego excessivo sem limites e sem uma maneira de pará-lo, levando a uma condição de negação de serviço (DoS) no sistema alvo ou mesmo em uma rede inteira.

O Loop DoS depende de spoofing de IP e pode ser ativado por um único host que envia uma mensagem para iniciar a comunicação.

De acordo com o Carnegie Mellon CERT Coordination Center (CERT/CC), existem três possíveis resultados quando um invasor explora a vulnerabilidade:

Sobrecarregamento de um serviço vulnerável e causando sua instabilidade ou inutilização.

Ataque DoS na rede principal, causando interrupções de rede em outros serviços.

Ataques de amplificação que envolvem loops de rede causando ataques amplificados de DoS ou DDoS.

Os pesquisadores do CISPA, Yepeng Pan e Professor Dr.

Christian Rossow, afirmam que o impacto potencial é notável, abrangendo protocolos desatualizados (QOTD, Chargen, Echo) e modernos (DNS, NTP, TFTP) que são cruciais para funções básicas baseadas na internet, como sincronização de tempo, resolução de nomes de domínio e transferência de arquivos sem autenticação.

"Se dois servidores de aplicação possuírem uma implementação vulnerável do referido protocolo, um agressor pode iniciar uma comunicação com o primeiro servidor, falsificando o endereço de rede do segundo servidor (vítima)," explica o CERT/CC.

"Em muitos casos, o primeiro servidor responderá com uma mensagem de erro para a vítima, que também acionará um comportamento semelhante de outra mensagem de erro de volta para o primeiro servidor," - CERT Coordination Center

Este processo continua até que todos os recursos disponíveis estejam completamente esgotados, tornando os servidores não responsivos para solicitações legítimas.

No total, estima-se que 300.000 hosts de internet são vulneráveis aos ataques de Loop DoS.

Os pesquisadores alertaram que o ataque é fácil de ser explorado, ressaltando que não há evidências indicando exploração ativa neste momento.

Rossow e Pan compartilharam suas descobertas com os fornecedores afetados e notificaram o CERT/CC para divulgação coordenada.

Até agora, os fornecedores que confirmaram que suas implementações são afetadas pelo CVE-2024-2169 são Broadcom, Cisco, Honeywell, Microsoft e MikroTik.

Para evitar o risco de negação de serviço através do Loop DoS, o CERT/CC recomenda a instalação das últimas correções dos fornecedores que abordam a vulnerabilidade e substituir produtos que não recebem mais atualizações de segurança.

Usar regras de firewall e listas de controle de acesso para aplicações UDP, desativar serviços UDP desnecessários e implementar validação de TCP ou solicitação também são medidas que podem mitigar o risco de um ataque.

Além disso, a organização recomenda a implantação de soluções anti-spoofing como BCP38 e Unicast Reverse Path Forwarding (uRPF), e o uso de medidas de Qualidade de Serviço (QoS) para limitar o tráfego de rede e proteger contra abusos de loops de rede e amplificações de DoS.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...