Atako al iuj UDP-bazitaj protokoloj kaŭzantaj pakaĵbuklojn

La Kunordiga Centro de CERT (Komputila Emergency Response Team) emisiis alarmon koncerne serion de vundeblecoj en efektivigoj de diversaj aplikaĵprotokoloj kiuj uzas UDP kiel transporton. La vundeblecoj povas esti uzataj por kaŭzi neon de servo pro la ebleco lopi pakaĵetojn inter du gastigantoj. Ekzemple, atakantoj povas elĉerpi disponeblan retan bendolarĝon, bloki retajn servojn (ekzemple, kreante altan ŝarĝon kaj superante petajn tariflimojn), kaj efektivigi trafikajn amplifilojn por DDoS-atakoj.

Protokoloj kies efektivigoj estas vundeblaj inkluzivas DNS, NTP, TFTP, Echo (RFC862), Chargen (RFC864) kaj QOTD (RFC865). La ĉeesto de la vundebleco (CVE-2024-2169) estis konfirmita en iuj produktoj de Cisco, Microsoft, Broadcom, Brother, Honeywell (CVE-2024-1309) kaj MikroTik. Kiel solvoj por bloki vundeblecojn, oni rekomendas ebligi spoofing-blokado (uRPF) sur la fajroŝirmilo, limigi aliron al nenecesaj UDP-servoj kaj agordi trafikintensan limigon (rapido-limo kaj QoS).

La vundeblecoj devenas de la vundebleco de la UDP-protokolo al adresfalsigo. Sen kontraŭfalsiga protekto sur transit-enkursigiloj, atakanto povas specifi la IP-adreson de arbitra servilo en UDP-pakaĵo kaj sendi la pakaĵon al alia servilo, kiu tiam redonos respondon al la falsigita adreso. La atakmetodo implikas krei pakaĵbuklon inter serviloj uzante vundeblajn protokolajn efektivigojn. Ekzemple, la cela servilo povus respondi al alvenanta pakaĵo per erarkodo, kaj la servilo, kies adreson la atakanto anstataŭigis, redonos sian propran respondon, kiu siavice denove rezultigos pakaĵon resenditan kun erarkodo. Tiel, serviloj Ili komencos ludi tablotenison unu kun la alia kun sakoj senfine.


Atako al iuj UDP-bazitaj protokoloj kaŭzantaj pakaĵbuklojn

Rimarkinde estas, ke ĉi tiu atakmetodo ne estas nova kaj servilo Unu ataka variaĵo de ntpd-temposinkronigo estis riparita en 2009 (CVE-2009-3563) en versioj 4.2.4p8 kaj 4.2.5. La atako konsistis el sendado de NTP-pakaĵeto kun falsa adreso kaj la flago MODE_PRIVATE aktivigita. Kiam prilaborita, la cela servilo respondis, ke privata reĝimo estas neebla, lasante la flagon MODE_PRIVATE aktivigita en sia respondo. Sekve, la alia servilo ankaŭ ne povis prilabori ĉi tiun flagon kaj redonis sian propran respondon, rezultante en pakaĵbuklo inter la du NTP-serviloj. Por la DNS-protokolo, averto pri la ebleco de tia atako estis publikigita jam en 1996.

Глобальное сканирование адресов в интернете показало, что в настоящее время в сети присутствует как минимум 23 тысячи уязвимых TFTP-серверов, 63 тысячи DNS-серверов, 89 тысяч NTP-серверов, 56 тысяч сервисов Echo/RFC862, 22 тысячи сервисов Chargen/RFC864 и 21 тысяча сервисов QOTD/RFC865. Предполагается, что в случае NTP-серверов наличие неисправленной уязвимости связано с использованием очень старых версий ntpd, выпущенных до 2010 года. Сервисы Echo, Chargen и QOTD уязвимы изначально в силу своей архитектуры. Ситуация с серверами TFTP и DNS требует разбирательства с их администраторами. Серверы atftpd и tftpd проблеме не подвержены, так как используют случайный номер исходного сетевого порта при отправке ответа. Из уязвимых DNS-серверов упоминается dproxy-nexgen. В продуктах Microsoft проблема проявляется в WDS (Windows Deployment Services), а в продуктах Cisco проблема присутствует в маршрутизаторах серий 2800 и 2970.

fonto: opennet.ru

Aĉetu fidindan gastigadon por retejoj kun DDoS-protekto, VPS-VDS-serviloj 🔥 Aĉetu fidindan retejan gastigadon kun DDoS-protekto, VPS VDS-servilojn | ProHoster