Một vectơ tấn công từ chối dịch vụ (DoS) mới đã được tìm thấy để nhắm mục tiêu các giao thức lớp ứng dụng dựa trên Giao thức gói dữ liệu người dùng (UDP), khiến hàng trăm nghìn máy chủ có thể gặp rủi ro.
Được gọi là các cuộc tấn công Loop DoS, cách tiếp cận này ghép nối "các máy chủ của các giao thức này theo cách mà chúng giao tiếp với nhau vô thời hạn", các nhà nghiên cứu từ Trung tâm An ninh Thông tin CISPA Helmholtz cho biết.
UDP, theo thiết kế, là một giao thức không kết nối không xác thực địa chỉ IP nguồn, khiến nó dễ bị giả mạo IP.
Do đó, khi kẻ tấn công giả mạo một số gói UDP để bao gồm địa chỉ IP của nạn nhân, máy chủ đích sẽ phản hồi nạn nhân (trái ngược với tác nhân đe dọa), tạo ra một cuộc tấn công từ chối dịch vụ (DoS) được phản ánh.
Nghiên cứu mới nhất cho thấy một số triển khai nhất định của giao thức UDP, chẳng hạn như DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD và Time, có thể được vũ khí hóa để tạo ra một vòng lặp tấn công tự duy trì.
"Nó ghép nối hai dịch vụ mạng theo cách mà chúng tiếp tục trả lời tin nhắn của nhau vô thời hạn", các nhà nghiên cứu cho biết. "Khi làm như vậy, họ tạo ra khối lượng lớn lưu lượng truy cập dẫn đến từ chối dịch vụ cho các hệ thống hoặc mạng liên quan. Một khi kích hoạt được tiêm và vòng lặp được thiết lập chuyển động, ngay cả những kẻ tấn công cũng không thể ngăn chặn cuộc tấn công. "
Nói một cách đơn giản, với hai máy chủ ứng dụng chạy phiên bản giao thức dễ bị tấn công, tác nhân đe dọa có thể bắt đầu giao tiếp với máy chủ đầu tiên bằng cách giả mạo địa chỉ của máy chủ thứ hai, khiến máy chủ đầu tiên phản hồi nạn nhân (tức là máy chủ thứ hai) bằng thông báo lỗi.
Nạn nhân, lần lượt, cũng sẽ thể hiện hành vi tương tự, gửi lại một thông báo lỗi khác đến máy chủ đầu tiên, làm cạn kiệt tài nguyên của nhau một cách hiệu quả và làm cho một trong hai dịch vụ không phản hồi.
"Nếu một lỗi đầu vào tạo ra lỗi đầu ra và hệ thống thứ hai hoạt động giống nhau, hai hệ thống này sẽ tiếp tục gửi thông báo lỗi qua lại vô thời hạn", Yepeng Pan và Christian Rossow giải thích.
CISPA cho biết ước tính có khoảng 300.000 máy chủ và mạng của họ có thể bị lạm dụng để thực hiện các cuộc tấn công Loop DoS.
Mặc dù hiện tại không có bằng chứng nào cho thấy cuộc tấn công đã được vũ khí hóa trong tự nhiên, các nhà nghiên cứu cảnh báo rằng việc khai thác là không đáng kể và nhiều sản phẩm từ Broadcom, Cisco, Honeywell, Microsoft, MikroTik và Zyxel bị ảnh hưởng.
"Những kẻ tấn công cần một máy chủ có khả năng giả mạo duy nhất để kích hoạt các vòng lặp", các nhà nghiên cứu lưu ý. "Do đó, điều quan trọng là phải duy trì các sáng kiến để lọc lưu lượng truy cập giả mạo, chẳng hạn như BCP38."