Стотици хиляди устройства в публичния интернет са уязвими на нова

Стотици хиляди устройства в обществения интернет са уязвими на нова скица на офанзиви за отвод от услуга (снимка: CC0 Public Domain)

Около 300 000 сървъра или устройства в обществения интернет са уязвими към неотдавна разкрития Loop DoS способ за офанзиви, които предизвикват отвод на услуга (DoS). Методът се ползва по отношение на някои основани на UDP услуги на равнище приложение.

Определени реализации на протоколите TFTP, DNS и NTP, както и наследени протоколи като Echo, Chargen и QOTD, са изложени на риск, твърди обява на The Register. Използването на уязвимостта от атакуващите може да докара до спиране на услугите и излизане от строя на цели машини или мрежи.

Съдейки по сканирането на DNS, NTP и TFTP, най-големият брой обществено налични евентуално уязвими системи са в Китай, Русия и Америка, следвани от Иран, Южна Корея, Италия, Франция, Канада и Бразилия.

Методът на офанзивата беше оголен по-рано тази седмица от откривателите Кристиан Росоу и Йепенг (Ерик) Пан от Центъра за осведомителна сигурност CISPA Helmholtz в Германия.

Схемата е много тривиална и разчита главно на изпращане на известие за неточност до уязвим сървър А, употребявайки подправяне на източника на IP адрес по подобен метод, че сървър А дава отговор със известие за неточност до уязвим сървър Б. Последният изпраща известие за неточност до A, който дава отговор на Б, а той дава отговор на A още веднъж и още веднъж в безконечен цикъл.
още по темата
Всичко, което атакуващите би трябвало да създадат, е да изпратят задоволително известия на сървър A, тъй че последвалата стихия от UDP пакети сред A и Б да погълне ресурсите на машините и да ги принуди да спрат да дават отговор на легалните поръчки. За всички естествени консуматори сървърите ще наподобяват недостъпни.

„ Например, представете си две услуги, които дават отговор със известие за неточност, когато получават известие за неточност като вход ”, разказват схемата Росоу и Пан. „ Ако неточност като вход основава неточност като излаз и втора система се държи по същия метод, тези две системи ще продължат да изпращат известия за неточност напред и обратно за неопределен срок ”.

Методът облагодетелства нарушителите по разнообразни способи: не е належащо да изпращат непрекъснати талази от трафик, с цел да създадат услугите недостъпни, и откакто схемата се задейства, няма прекъсване, до момента в който целевите машини или някой сред тях не прекъсне безкрайния цикъл.

Този тип цикъл на приложния пласт е прочут проблем още през 1996 година, означават експертите от CISPA. „ Доколкото знаем, този тип офанзива към момента не е осъществявана на терен. Би било обаче елементарно за нападателите да се възползват от тази накърнимост, в случай че не бъдат подхванати дейности за понижаване на риска ”, предизвестява Росоу, защото „ летвата за това не е толкоз висока ”.

Изследователите към този момент са уведомили за риска компании с рискови внедрявания и „ общественост на доверени оператори ” и се надяват последните да внедрят кръпки за уязвимостта. Двамата специалисти стартират акция за известяван в съдействие с фондацията с нестопанска цел Shadowserver.

Твърди се, че оборудването и софтуерът от Arris, Broadcom, Microsoft, Honeywell (CVE-2024-1309), Brother и MikroTik са измежду уязвимите на Loop DoS. Освен това артикули на Cisco, TP-Link и Zyxel, излезли от поддръжка, се смятат за изложени на риск.

Някои артикули от D-Link и PLANET Technology също се считат за уязвими, само че нито един от производителите не е удостоверил нищо публично. Публикуване е, с който потребителите могат да открият евентуално изложени на риск услуги в своята ИТ среда.