Ang CERT (Computer Emergency Response Team) Coordination Center nagpagawas ug alerto bahin sa sunodsunod nga mga kahuyangan sa pagpatuman sa lain-laing mga protocol sa aplikasyon nga naggamit sa UDP isip transportasyon. Ang mga kahuyangan mahimong magamit aron mahimong hinungdan sa pagdumili sa serbisyo tungod sa posibilidad sa pag-loop sa mga pakete tali sa duha nga mga host. Pananglitan, ang mga tig-atake mahimong mahurot ang magamit nga bandwidth sa network, babagan ang mga serbisyo sa network (pananglitan, pinaagi sa paghimo og taas nga load ug pagsobra sa mga limitasyon sa rate sa hangyo), ug ipatuman ang mga traffic amplifier alang sa mga pag-atake sa DDoS.
Ang mga protocol kansang mga pagpatuman huyang naglakip sa DNS, NTP, TFTP, Echo (RFC862), Chargen (RFC864) ug QOTD (RFC865). Ang presensya sa kahuyang (CVE-2024-2169) gipamatud-an sa pipila ka mga produkto gikan sa Cisco, Microsoft, Broadcom, Brother, Honeywell (CVE-2024-1309) ug MikroTik. Isip mga workaround aron babagan ang mga kahuyangan, girekomenda nga mahimo ang spoofing blocking (uRPF) sa firewall, limitahan ang pag-access sa wala kinahanglana nga serbisyo sa UDP, ug i-configure ang limitasyon sa intensity sa trapiko (rate-limit ug QoS).
Ang mga kahuyangan naggikan sa kahuyang sa UDP protocol sa pag-address sa spoofing. Kung walay proteksyon batok sa spoofing sa mga transit router, ang usa ka tig-atake mahimong motino sa IP address sa usa ka arbitraryong server sa usa ka UDP packet ug ipadala ang packet ngadto sa laing server, nga unya mobalik og tubag sa spoofed address. Ang pamaagi sa pag-atake naglakip sa paghimo og packet loop tali sa mga server gamit ang mga vulnerable protocol implementations. Pananglitan, ang target server mahimong motubag sa usa ka mosulod nga packet nga adunay error code, ug ang server kansang address gipulihan sa tig-atake mobalik sa kaugalingon nga tubag, nga, sa baylo, moresulta pag-usab sa pagbalik sa usa ka packet nga adunay error code. Busa, mga server Magsugod sila sa pagdula og ping-pong nga magkuyog nga magdala og mga bag nga walay katapusan.
Matikdi nga kini nga pamaagi sa pag-atake dili bag-o ug server Usa ka variant sa pag-atake sa ntpd time synchronization ang giayo niadtong 2009 (CVE-2009-3563) sa mga bersyon 4.2.4p8 ug 4.2.5. Ang pag-atake naglangkob sa pagpadala og NTP packet nga adunay spoofed address ug ang MODE_PRIVATE flag set. Sa dihang giproseso, ang target server mitubag nga ang private mode imposible, nga nagbilin sa MODE_PRIVATE flag set sa iyang tubag. Tungod niini, ang pikas server dili usab makaproseso niini nga flag ug mibalik sa kaugalingon nga tubag, nga miresulta sa usa ka packet loop tali sa duha ka NTP server. Alang sa DNS protocol, usa ka pasidaan bahin sa posibilidad sa ingon nga pag-atake ang gipatik sa sayo pa sa 1996.
Usa ka global scan sa mga Internet address nagbutyag nga adunay labing menos 23 ka vulnerable TFTP servers, 63 ka DNS servers, 89 ka NTP servers, 56 ka Echo/RFC862 services, 22 ka Chargen/RFC864 services, ug 21 ka QOTD/RFC865 services sa network. Gituohan nga sa kaso sa mga NTP server, ang wala ma-patched nga vulnerability nalangkit sa paggamit sa mga karaan na kaayong bersyon sa ntpd, nga gipagawas sa wala pa ang 2010. Ang mga serbisyo sa Echo, Chargen, ug QOTD vulnerable gikan sa sinugdanan tungod sa ilang arkitektura. Ang sitwasyon sa mga TFTP ug DNS servers nanginahanglan og imbestigasyon sa ilang mga administrador. Ang mga atftpd ug tftpd server wala maapektuhan sa problema, tungod kay naggamit sila og random source network port number sa pagpadala og tubag. Ang dproxy-nexgen gihisgutan nga usa ka vulnerable DNS server. Sa mga produkto sa Microsoft, ang problema makita sa WDS (Windows Mga Serbisyo sa Pag-deploy), ug sa mga produkto sa Cisco, ang isyu makita sa mga router nga serye sa 2800 ug 2970.
Source: opennet.ru
