Mae Canolfan Cydgysylltu CERT (Tîm Ymateb Brys Cyfrifiadurol) wedi cyhoeddi rhybudd am gyfres o wendidau wrth weithredu amrywiol brotocolau cymhwyso sy'n defnyddio CDU fel cludiant. Gellir defnyddio'r gwendidau i achosi gwrthod gwasanaeth oherwydd y posibilrwydd o ddolennu pecynnau rhwng dau westeiwr. Er enghraifft, gall ymosodwyr ddisbyddu'r lled band rhwydwaith sydd ar gael, blocio gwasanaethau rhwydwaith (er enghraifft, trwy greu llwyth uchel a mynd y tu hwnt i derfynau cyfradd ceisiadau), a gweithredu chwyddseinyddion traffig ar gyfer ymosodiadau DDoS.
Mae protocolau y mae eu gweithrediadau'n agored i niwed yn cynnwys DNS, NTP, TFTP, Echo (RFC862), Chargen (RFC864) a QOTD (RFC865). Mae presenoldeb y bregusrwydd (CVE-2024-2169) wedi'i gadarnhau mewn rhai cynhyrchion gan Cisco, Microsoft, Broadcom, Brother, Honeywell (CVE-2024-1309) a MikroTik. Fel atebion i rwystro gwendidau, argymhellir galluogi blocio ffug (uRPF) ar y wal dân, cyfyngu mynediad i wasanaethau CDU diangen, a ffurfweddu cyfyngiad dwyster traffig (terfyn cyfradd a QoS).
Mae'r gwendidau'n deillio o wendid y protocol UDP i fynd i'r afael â ffugio. Heb amddiffyniad gwrth-ffugio ar lwybryddion trosglwyddo, gall ymosodwr nodi cyfeiriad IP gweinydd mympwyol mewn pecyn UDP ac anfon y pecyn at weinydd arall, a fydd wedyn yn dychwelyd ymateb i'r cyfeiriad ffug. Mae'r dull ymosod yn cynnwys creu dolen becyn rhwng gweinyddion gan ddefnyddio gweithrediadau protocol agored i niwed. Er enghraifft, gallai'r gweinydd targed ymateb i becyn sy'n dod i mewn gyda chod gwall, a bydd y gweinydd y rhoddodd yr ymosodwr ei gyfeiriad yn dychwelyd ei ymateb ei hun, a fydd, yn ei dro, eto'n arwain at becyn yn cael ei ddychwelyd gyda chod gwall. Felly, gweinyddion Byddan nhw'n dechrau chwarae ping-pong gyda'i gilydd gyda bagiau hyd yn oed.
Mae'n werth nodi nad yw'r dull ymosod hwn yn newydd a gweinydd Cafodd un amrywiad ymosodiad o gydamseru amser ntpd ei drwsio yn ôl yn 2009 (CVE-2009-3563) mewn fersiynau 4.2.4p8 a 4.2.5. Roedd yr ymosodiad yn cynnwys anfon pecyn NTP gyda chyfeiriad ffug a'r faner MODE_PRIVATE wedi'i gosod. Pan gafodd ei brosesu, ymatebodd y gweinydd targed fod modd preifat yn amhosibl, gan adael y faner MODE_PRIVATE wedi'i gosod yn ei ymateb. O ganlyniad, ni allai'r gweinydd arall brosesu'r faner hon chwaith a dychwelodd ei ymateb ei hun, gan arwain at ddolen becyn rhwng y ddau weinydd NTP. Ar gyfer y protocol DNS, cyhoeddwyd rhybudd am y posibilrwydd o ymosodiad o'r fath mor gynnar â 1996.
Mae sgan byd-eang o gyfeiriadau Rhyngrwyd wedi datgelu bod o leiaf 23 o weinyddion TFTP agored i niwed, 63 o weinyddion DNS, 89 o weinyddion NTP, 56 o wasanaethau Echo/RFC862, 22 o wasanaethau Chargen/RFC864, a 21 o wasanaethau QOTD/RFC865 ar y rhwydwaith ar hyn o bryd. Tybir, yn achos gweinyddion NTP, fod y bregusrwydd heb ei glytio yn gysylltiedig â defnyddio fersiynau hen iawn o ntpd, a ryddhawyd cyn 2010. Mae'r gwasanaethau Echo, Chargen, a QOTD yn agored i niwed o'r cychwyn oherwydd eu pensaernïaeth. Mae'r sefyllfa gyda gweinyddion TFTP a DNS yn gofyn am ymchwiliad gyda'u gweinyddwyr. Nid yw'r gweinyddion atftpd a tftpd yn cael eu heffeithio gan y broblem, gan eu bod yn defnyddio rhif porthladd rhwydwaith ffynhonnell ar hap wrth anfon ymateb. Sonnir am dproxy-nexgen fel gweinydd DNS agored i niwed. Mewn cynhyrchion Microsoft, mae'r broblem yn amlygu ei hun yn WDS (Windows Gwasanaethau Defnyddio), ac mewn cynhyrchion Cisco, mae'r broblem yn bresennol yn y llwybryddion cyfres 2800 a 2970.
Ffynhonnell: opennet.ru
