Координаційний центр CERT (комп'ютерна група реагування на надзвичайні ситуації) опублікував попередження про серію вразливостей у реалізаціях різних прикладних протоколів, які використовують як транспорт протокол UDP. Вразливості можуть використовуватись для організації відмови в обслуговуванні через можливість зациклювання обміну пакетами між двома хостами. Наприклад, атакуючі можуть досягти вичерпання доступної пропускної спроможності мережі, блокування роботи мережевих сервісів (наприклад, через створення високого навантаження та перевищення обмеження інтенсивності запитів) та реалізації підсилювачів трафіку для DDoS-атак.
З протоколів, деякі реалізації яких схильні до вразливості, згадуються DNS, NTP, TFTP, Echo (RFC862), Chargen (RFC864) і QOTD (RFC865). Наявність уразливості (CVE-2024-2169) підтверджено в окремих продуктах компаній Cisco, Microsoft, Broadcom, Brother, Honeywell (CVE-2024-1309) та MikroTik. Як обхідні заходи для блокування вразливостей рекомендується включити на міжмережевому екрані блокування спуфінгу (uRPF), обмежити доступ до зайвих UDP-сервісів та налаштувати обмеження інтенсивності трафіку (rate-limit та QoS).
Уразливості обумовлені незахищеністю протоколу UDP від спуфінгу адрес — за відсутності на транзитних маршрутизаторах захисту від спуфінгу атакуючий може вказати в UDP-пакеті IP-адресу довільного сервера і відправити цей пакет на інший сервер, який поверне відповідь на вказану підроблену адресу. Метод атаки зводиться до створення ситуації із зациклюванням обміну пакетами між серверами, які використовують вразливі для реалізації протоколу. Наприклад, у відповідь на пакет цільовий сервер може відправити відповідь з кодом помилки, а сервер, адресу якого підставив атакуючий, поверне свою відповідь, яка, у свою чергу знову призведе до повернення пакета з кодом помилки. Таким чином, сервери до нескінченності почнуть грати між собою пакетами в пінг-понг.
Примітно, що подібний метод атаки не новий і в сервері синхронізації часу ntpd один із варіантів атаки був усунений ще в 2009 році (CVE-2009-3563) у версіях 4.2.4p8 та 4.2.5. Атака зводилася до відправлення NTP-пакета з підставною адресою та виставленим прапором MODE_PRIVATE, при обробці якого цільовий сервер повертав відповідь про неможливість використання приватного режиму, залишаючи у відповіді виставлений прапор MODE_PRIVATE. Відповідно, інший сервер також не міг обробити цей прапор і повертав свою відповідь, що призводило до зациклювання обміну пакетами між двома NTP-серверами. Для протоколу DNS попередження про можливість здійснення подібної атаки опубліковано ще 1996 року.
Глобальное сканирование адресов в интернете показало, что в настоящее время в сети присутствует как минимум 23 тысячи уязвимых TFTP-серверов, 63 тысячи DNS-серверов, 89 тысяч NTP-серверов, 56 тысяч сервисов Echo/RFC862, 22 тысячи сервисов Chargen/RFC864 и 21 тысяча сервисов QOTD/RFC865. Предполагается, что в случае NTP-серверов наличие неисправленной уязвимости связано с использованием очень старых версий ntpd, выпущенных до 2010 года. Сервисы Echo, Chargen и QOTD уязвимы изначально в силу своей архитектуры. Ситуация с серверами TFTP и DNS требует разбирательства с их администраторами. Серверы atftpd и tftpd проблеме не подвержены, так как используют случайный номер исходного сетевого порта при отправке ответа. Из уязвимых DNS-серверов упоминается dproxy-nexgen. В продуктах Microsoft проблема проявляется в WDS (Windows Deployment Services), а в продуктах Cisco проблема присутствует в маршрутизаторах серий 2800 и 2970.
Джерело: opennet.ru
