Атака Π½Π° Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρ‹ Π½Π° основС UDP, приводящая ΠΊ Π·Π°Ρ†ΠΈΠΊΠ»ΠΈΠ²Π°Π½ΠΈΡŽ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΏΠ°ΠΊΠ΅Ρ‚Π°ΠΌΠΈ

ΠšΠΎΠΎΡ€Π΄ΠΈΠ½Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹ΠΉ Ρ†Π΅Π½Ρ‚Ρ€ CERT (ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π½Π°Ρ Π³Ρ€ΡƒΠΏΠΏΠ° рСагирования Π½Π° Ρ‡Ρ€Π΅Π·Π²Ρ‹Ρ‡Π°ΠΉΠ½Ρ‹Π΅ ситуации), ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π» ΠΏΡ€Π΅Π΄ΡƒΠΏΡ€Π΅ΠΆΠ΄Π΅Π½ΠΈΠ΅ ΠΎ сСрии уязвимостСй Π² рСализациях Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΏΡ€ΠΈΠΊΠ»Π°Π΄Π½Ρ‹Ρ… ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ… Π² качСствС транспорта ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» UDP. Уязвимости ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΎΡ‚ΠΊΠ°Π·Π° Π² обслуТивании ΠΈΠ·-Π·Π° возмоТности зацикливания ΠΎΠ±ΠΌΠ΅Π½Π° ΠΏΠ°ΠΊΠ΅Ρ‚Π°ΠΌΠΈ ΠΌΠ΅ΠΆΠ΄Ρƒ двумя хостами. НапримСр, Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ ΠΌΠΎΠ³ΡƒΡ‚ Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ исчСрпания доступной пропускной способности сСти, блокирования Ρ€Π°Π±ΠΎΡ‚Ρ‹ сСтСвых сСрвисов (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Ρ‡Π΅Ρ€Π΅Π· созданиС высокой Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ ΠΈ ΠΏΡ€Π΅Π²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ограничСния интСнсивности запросов) ΠΈ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ усилитСлСй Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° для DDoS-Π°Ρ‚Π°ΠΊ.

Из ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ², Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Ρ‹ уязвимости, ΡƒΠΏΠΎΠΌΠΈΠ½Π°ΡŽΡ‚ΡΡ DNS, NTP, TFTP, Echo (RFC862), Chargen (RFC864) ΠΈ QOTD (RFC865). НаличиС уязвимости (CVE-2024-2169) ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π΅Π½ΠΎ Π² ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°Ρ… ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ Cisco, Microsoft, Broadcom, Brother, Honeywell (CVE-2024-1309) ΠΈ MikroTik. Π’ качСствС ΠΎΠ±Ρ…ΠΎΠ΄Π½Ρ‹Ρ… ΠΌΠ΅Ρ€ для блокирования уязвимостСй рСкомСндуСтся Π²ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ Π½Π° мСТсСтСвом экранС Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΡƒ спуфинга (uRPF), ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ лишним UDP-сСрвисам ΠΈ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅ интСнсивности Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° (rate-limit ΠΈ QoS).

Уязвимости обусловлСны Π½Π΅Π·Π°Ρ‰ΠΈΡ‰Ρ‘Π½Π½ΠΎΡΡ‚ΡŒΡŽ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° UDP ΠΎΡ‚ спуфинга адрСсов — ΠΏΡ€ΠΈ отсутствии Π½Π° Ρ‚Ρ€Π°Π½Π·ΠΈΡ‚Π½Ρ‹Ρ… ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ‚ΠΎΡ€Π°Ρ… Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΡ‚ спуфинга Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ Π² UDP-ΠΏΠ°ΠΊΠ΅Ρ‚Π΅ IP-адрСс ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½ΠΎΠ³ΠΎ сСрвСра ΠΈ ΠΎΡ‚ΠΏΡ€Π°Π²ΠΈΡ‚ΡŒ этот ΠΏΠ°ΠΊΠ΅Ρ‚ Π½Π° Π΄Ρ€ΡƒΠ³ΠΎΠΉ сСрвСр, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π²Π΅Ρ€Π½Ρ‘Ρ‚ ΠΎΡ‚Π²Π΅Ρ‚ Π½Π° ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹ΠΉ ΠΏΠΎΠ΄Π΄Π΅Π»ΡŒΠ½Ρ‹ΠΉ адрСс. ΠœΠ΅Ρ‚ΠΎΠ΄ Π°Ρ‚Π°ΠΊΠΈ сводится ΠΊ созданию ситуации с Π·Π°Ρ†ΠΈΠΊΠ»ΠΈΠ²Π°Π½ΠΈΠ΅ΠΌ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΏΠ°ΠΊΠ΅Ρ‚Π°ΠΌΠΈ ΠΌΠ΅ΠΆΠ΄Ρƒ сСрвСрами, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠΌΠΈ уязвимыС Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°. НапримСр, Π² ΠΎΡ‚Π²Π΅Ρ‚ Π½Π° ΠΏΠΎΡΡ‚ΡƒΠΏΠΈΠ²ΡˆΠΈΠΉ ΠΏΠ°ΠΊΠ΅Ρ‚ Ρ†Π΅Π»Π΅Π²ΠΎΠΉ сСрвСр ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΡ‚ΠΏΡ€Π°Π²ΠΈΡ‚ΡŒ ΠΎΡ‚Π²Π΅Ρ‚ с ΠΊΠΎΠ΄ΠΎΠΌ ошибки, Π° сСрвСр, адрСс ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ подставил Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ, Π²Π΅Ρ€Π½Ρ‘Ρ‚ свой ΠΎΡ‚Π²Π΅Ρ‚, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ, Π² свою ΠΎΡ‡Π΅Ρ€Π΅Π΄ΡŒ ΠΎΠΏΡΡ‚ΡŒ ΠΏΡ€ΠΈΠ²Π΅Π΄Ρ‘Ρ‚ ΠΊ Π²ΠΎΠ·Π²Ρ€Π°Ρ‚Ρƒ ΠΏΠ°ΠΊΠ΅Ρ‚Π° с ΠΊΠΎΠ΄ΠΎΠΌ ошибки. Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, сСрвСры Π΄ΠΎ бСсконСчности Π½Π°Ρ‡Π½ΡƒΡ‚ ΠΈΠ³Ρ€Π°Ρ‚ΡŒ ΠΌΠ΅ΠΆΠ΄Ρƒ собой ΠΏΠ°ΠΊΠ΅Ρ‚Π°ΠΌΠΈ Π² «ΠΏΠΈΠ½Π³-ΠΏΠΎΠ½Π³».

Атака Π½Π° Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρ‹ Π½Π° основС UDP, приводящая ΠΊ Π·Π°Ρ†ΠΈΠΊΠ»ΠΈΠ²Π°Π½ΠΈΡŽ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΏΠ°ΠΊΠ΅Ρ‚Π°ΠΌΠΈ

ΠŸΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ, Ρ‡Ρ‚ΠΎ ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹ΠΉ ΠΌΠ΅Ρ‚ΠΎΠ΄ Π°Ρ‚Π°ΠΊΠΈ Π½Π΅ Π½ΠΎΠ² ΠΈ Π² сСрвСрС синхронизации Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ ntpd ΠΎΠ΄ΠΈΠ½ ΠΈΠ· Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ΠΎΠ² Π°Ρ‚Π°ΠΊΠΈ Π±Ρ‹Π» устранён Π΅Ρ‰Ρ‘ Π² 2009 Π³ΠΎΠ΄Ρƒ (CVE-2009-3563) Π² вСрсиях 4.2.4p8 ΠΈ 4.2.5. Атака сводилась ΠΊ ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠ΅ NTP-ΠΏΠ°ΠΊΠ΅Ρ‚Π° с подставным адрСсом ΠΈ выставлСнным Ρ„Π»Π°Π³ΠΎΠΌ MODE_PRIVATE, ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ Ρ†Π΅Π»Π΅Π²ΠΎΠΉ сСрвСр Π²ΠΎΠ·Π²Ρ€Π°Ρ‰Π°Π» ΠΎΡ‚Π²Π΅Ρ‚ ΠΎ нСвозмоТности использования ΠΏΡ€ΠΈΠ²Π°Ρ‚Π½ΠΎΠ³ΠΎ Ρ€Π΅ΠΆΠΈΠΌΠ°, оставляя Π² ΠΎΡ‚Π²Π΅Ρ‚Π΅ выставлСнным Ρ„Π»Π°Π³ MODE_PRIVATE. БоотвСтствСнно Π΄Ρ€ΡƒΠ³ΠΎΠΉ сСрвСр Ρ‚Π°ΠΊΠΆΠ΅ Π½Π΅ ΠΌΠΎΠ³ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ Π΄Π°Π½Π½Ρ‹ΠΉ Ρ„Π»Π°Π³ ΠΈ Π²ΠΎΠ·Π²Ρ€Π°Ρ‰Π°Π» свой ΠΎΡ‚Π²Π΅Ρ‚, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΠ»ΠΎ ΠΊ Π·Π°Ρ†ΠΈΠΊΠ»ΠΈΠ²Π°Π½ΠΈΡŽ ΠΎΠ±ΠΌΠ΅Π½Π° ΠΏΠ°ΠΊΠ΅Ρ‚Π°ΠΌΠΈ ΠΌΠ΅ΠΆΠ΄Ρƒ двумя NTP-сСрвСрами. Для ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° DNS ΠΏΡ€Π΅Π΄ΡƒΠΏΡ€Π΅ΠΆΠ΄Π΅Π½ΠΈΠ΅ ΠΎ возмоТности ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ ΠΏΠΎΠ΄ΠΎΠ±Π½ΠΎΠΉ Π°Ρ‚Π°ΠΊΠΈ ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½ΠΎ Π΅Ρ‰Ρ‘ Π² 1996 Π³ΠΎΠ΄Ρƒ.

Π“Π»ΠΎΠ±Π°Π»ΡŒΠ½ΠΎΠ΅ сканированиС адрСсов Π² ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π΅ ΠΏΠΎΠΊΠ°Π·Π°Π»ΠΎ, Ρ‡Ρ‚ΠΎ Π² настоящСС врСмя Π² сСти присутствуСт ΠΊΠ°ΠΊ ΠΌΠΈΠ½ΠΈΠΌΡƒΠΌ 23 тысячи уязвимых TFTP-сСрвСров, 63 тысячи DNS-сСрвСров, 89 тысяч NTP-сСрвСров, 56 тысяч сСрвисов Echo/RFC862, 22 тысячи сСрвисов Chargen/RFC864 ΠΈ 21 тысяча сСрвисов QOTD/RFC865. ΠŸΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅Ρ‚ΡΡ, Ρ‡Ρ‚ΠΎ Π² случаС NTP-сСрвСров Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ нСисправлСнной уязвимости связано с использованиСм ΠΎΡ‡Π΅Π½ΡŒ старых вСрсий ntpd, Π²Ρ‹ΠΏΡƒΡ‰Π΅Π½Π½Ρ‹Ρ… Π΄ΠΎ 2010 Π³ΠΎΠ΄Π°. БСрвисы Echo, Chargen ΠΈ QOTD уязвимы ΠΈΠ·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ Π² силу своСй Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Ρ‹. Битуация с сСрвСрами TFTP ΠΈ DNS Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ Ρ€Π°Π·Π±ΠΈΡ€Π°Ρ‚Π΅Π»ΡŒΡΡ‚Π²Π° с ΠΈΡ… администраторами. Π‘Π΅Ρ€Π²Π΅Ρ€Ρ‹ atftpd ΠΈ tftpd ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ΅ Π½Π΅ ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Ρ‹, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ случайный Π½ΠΎΠΌΠ΅Ρ€ исходного сСтСвого ΠΏΠΎΡ€Ρ‚Π° ΠΏΡ€ΠΈ ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠ΅ ΠΎΡ‚Π²Π΅Ρ‚Π°. Из уязвимых DNS-сСрвСров упоминаСтся dproxy-nexgen. Π’ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°Ρ… Microsoft ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся Π² WDS (Windows Deployment Services), Π° Π² ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°Ρ… Cisco ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° присутствуСт Π² ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ‚ΠΎΡ€Π°Ρ… сСрий 2800 ΠΈ 2970.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru