Yeni bir hizmet reddi (DoS) saldırı vektörünün, Kullanıcı Datagram Protokolü’nü (UDP) temel alan uygulama katmanı protokollerini hedef alarak yüz binlerce ana bilgisayarı büyük olasılıkla riske attığı bulunmuştur.
İsminde Döngü DoS saldırıları, yaklaşmak CISPA Helmholtz-Bilgi Güvenliği Merkezi’nden araştırmacılar, çiftlerin “bu protokollerin sunucularının birbirleriyle süresiz olarak iletişim kuracak şekilde” olduğunu söyledi.
UDP, tasarımı gereği, kaynak IP adreslerini doğrulamayan, IP sahtekarlığına karşı duyarlı hale getiren bağlantısız bir protokoldür.
Bu nedenle, saldırganlar kurbanın IP adresini içerecek şekilde birkaç UDP paketi oluşturduğunda, hedef sunucu (tehdit aktörünün aksine) kurbana yanıt vererek yansıtılmış bir hizmet reddi (DoS) saldırısı oluşturur.
Son çalışma, UDP protokolünün DNS, NTP, TFTP, Aktif Kullanıcılar, Gündüz, Echo, Chargen, QOTD ve Time gibi belirli uygulamalarının, kendi kendini sürdüren bir saldırı döngüsü oluşturmak için silah haline getirilebileceğini buldu.
Araştırmacılar, “İki ağ hizmetini, birbirlerinin mesajlarına süresiz olarak yanıt vermeye devam edecek şekilde eşleştiriyor.” söz konusu. “Bunu yaparken, ilgili sistemler veya ağlar için hizmet reddiyle sonuçlanan büyük miktarda trafik yaratıyorlar. Bir tetikleyici enjekte edildiğinde ve döngü harekete geçtiğinde, saldırganlar bile saldırıyı durduramaz.”
Basitçe söylemek gerekirse, protokolün savunmasız bir sürümünü çalıştıran iki uygulama sunucusu göz önüne alındığında, bir tehdit aktörü, ikinci sunucunun adresini taklit ederek birinci sunucuyla iletişimi başlatabilir ve birinci sunucunun kurbana (yani ikinci sunucuya) yanıt vermesine neden olabilir. bir hata mesajıyla.
Kurban da benzer davranışlar sergileyecek, ilk sunucuya başka bir hata mesajı gönderecek, birbirlerinin kaynaklarını etkili bir şekilde tüketecek ve hizmetlerden herhangi birinin yanıt vermemesine neden olacaktır.
Yepeng Pan ve Christian Rossow, “Girişteki bir hata, çıkışta bir hata yaratırsa ve ikinci bir sistem de aynı şekilde davranırsa, bu iki sistem süresiz olarak ileri geri hata mesajları göndermeye devam edecektir.” dedi.
CISPA, tahminen 300.000 ana bilgisayarın ve ağlarının Loop DoS saldırıları gerçekleştirmek için kötüye kullanılabileceğini söyledi.
Şu anda saldırının vahşi doğada silah olarak kullanıldığına dair bir kanıt bulunmamakla birlikte, araştırmacılar istismarın önemsiz olduğu ve birden fazla ürün Broadcom, Cisco, Honeywell, Microsoft, MikroTik ve Zyxel’den etkilenenler.
Araştırmacılar, “Saldırganların döngüleri tetiklemek için kimlik sahtekarlığı yapabilen tek bir ana bilgisayara ihtiyacı var” dedi. “Bu nedenle, sahte trafiği filtrelemek için BCP38 gibi girişimleri sürdürmek önemlidir.”
