Den CERT (Computer Emergency Response Team) Koordinatiounszentrum huet eng Alarm iwwer eng Serie vu Schwachstelle bei Implementatioune vu verschiddenen Applikatiounsprotokoller publizéiert, déi UDP als Transport benotzen. D'Schwieregkeete kënne benotzt ginn fir Verweigerung vum Service ze verursaachen wéinst der Méiglechkeet vu Päckchen tëscht zwee Hosten ze loopen. Zum Beispill kënnen Ugräifer d'verfügbare Netzwierkbandbreedung ausbauen, Netzwierkservicer blockéieren (zum Beispill andeems se héich Belaaschtung erstellen an d'Ufro-Taux-Limiten iwwerschreiden), an Traffic Verstärker fir DDoS Attacken ëmsetzen.
Protokoller deenen hir Implementatiounen vulnerabel sinn enthalen DNS, NTP, TFTP, Echo (RFC862), Chargen (RFC864) a QOTD (RFC865). D'Präsenz vun der Schwachstelle (CVE-2024-2169) gouf a bestëmmte Produkter vu Cisco, Microsoft, Broadcom, Brudder, Honeywell (CVE-2024-1309) a MikroTik bestätegt. Als Léisunge fir Schwachstelle ze blockéieren, ass et recommandéiert Spoofing Blocking (uRPF) op der Firewall z'aktivéieren, Zougang zu onnéideg UDP Servicer ze limitéieren an d'Begrenzung vun der Trafficintensitéit (Tauxlimit a QoS) ze konfiguréieren.
D'Schwachstellen stamen aus der Schwachstelle vum UDP-Protokoll géint Spoofing. Ouni Anti-Spoofing-Schutz op Transit-Routeren kann en Ugräifer d'IP-Adress vun engem arbiträre Server an engem UDP-Paket spezifizéieren an de Pak un en anere Server schécken, deen dann eng Äntwert op déi gespoofte Adress zréckgëtt. D'Attackmethod besteet doran, eng Pakettschleef tëscht Serveren ze kreéieren, déi vulnérabel Protokollimplementatiounen benotzen. Zum Beispill kéint den Zilserver op en ukommende Pak mat engem Fehlercode äntweren, an de Server, deem seng Adress den Ugräifer agesat huet, gëtt seng eege Äntwert zréck, wat dann erëm dozou féiert, datt e Pak mat engem Fehlercode zréckginn gëtt. Dofir, Serveren Si wäerten ufänken, mateneen Ping-Pong mat Poschen an der Onendlechkeet ze spillen.
Et ass bemierkenswäert, datt dës Attackmethod net nei ass an Server Eng Attackvariant vun der ntpd-Zäitsynchronisatioun gouf am Joer 2009 (CVE-2009-3563) an de Versiounen 4.2.4p8 an 4.2.5 korrigéiert. Den Attack bestoung doran, en NTP-Paket mat enger gefälschter Adress an dem gesaten MODE_PRIVATE-Flag ze schécken. Nom Veraarbechten huet den Zilserver geäntwert, datt de private Modus onméiglech wier, an huet de MODE_PRIVATE-Flag a senger Äntwert gesat. Dofir konnt den anere Server dëse Flag och net veraarbechten an huet seng eege Äntwert zréckginn, wat zu enger Paketschleef tëscht den zwee NTP-Serveren gefouert huet. Fir den DNS-Protokoll gouf schonn 1996 eng Warnung iwwer d'Méiglechkeet vun engem sou engem Attack publizéiert.
E globale Scan vun Internetadressen huet opgedeckt, datt et de Moment mindestens 23 vulnérabel TFTP-Serveren, 63 DNS-Serveren, 89 NTP-Serveren, 56 Echo/RFC862-Servicer, 22 Chargen/RFC864-Servicer an 21 QOTD/RFC865-Servicer am Netz gëtt. Et gëtt ugeholl, datt am Fall vun NTP-Serveren déi net gepatcht Schwachstelle mat der Benotzung vu ganz ale Versioune vun ntpd verbonnen ass, déi virun 2010 erauskoumen. D'Echo-, Chargen- a QOTD-Servicer si vun Ufank un vulnérabel wéinst hirer Architektur. D'Situatioun mat TFTP- an DNS-Serveren erfuerdert eng Enquête mat hiren Administrateuren. D'atftpd- an tftpd-Serveren si vum Problem net betraff, well se eng zoufälleg Quellnetzportnummer benotzen, wann se eng Äntwert schécken. dproxy-nexgen gëtt als vulnérabelen DNS-Server ernimmt. A Microsoft-Produkter manifestéiert sech de Problem a WDS (Windows Deployment Services), an a Cisco Produkter ass de Problem och an de Routeren aus der Serie 2800 an 2970 präsent.
Source: opennet.ru
