Loop DoS: бесконечные циклы на службе киберпреступников

Исследователи из центра информационной безопасности CISPA выявили новый вид атаки типа «отказ в обслуживании» (DoS), получившей название «Loop DoS». Атака затрагивает протоколы прикладного уровня, вызывая бесконечные коммуникационные циклы между сетевыми сервисами и создавая огромные объёмы трафика.

Атака осуществляется через UDP-протокол и затрагивает примерно 300 000 хостов и их сети по всему миру. Уязвимость, получившая обозначение CVE-2024-2169, связана с недостаточной верификацией пакетов данных в реализации UDP-протокола, что делает его уязвимым для подделки IP-адресов.

Злоумышленники могут инициировать самоподдерживающийся механизм, генерирующий чрезмерный трафик, что приводит к отказу в обслуживании на целевой системе или даже во всей сети. Атака «Loop DoS» может быть запущена даже с одного хоста, путём отправки всего одного сообщения.

Как отмечает Координационный центр CERT при университете Карнеги-Меллона, возможные последствия атаки включают перегрузку уязвимых сервисов, атаки на сетевую инфраструктуру и усиленные DoS или DDoS-атаки через сетевые циклы.

Исследователи CISPA Епенг Пан и Кристиан Россоу указывают на значительный потенциальный ущерб от атаки, влияющий как на устаревшие протоколы (QOTD, Chargen, Echo), так и на современные (DNS, NTP, TFTP), которые имеют решающее значение для базовых функций Интернета, таких как синхронизация времени, разрешение доменных имён и передача файлов без аутентификации.

«Если два сервера приложений имеют уязвимую реализацию указанного протокола, злоумышленник может инициировать обмен данными с первым сервером, подделав сетевой адрес второго сервера (жертвы)», — объясняли исследователи CERT. «Во многих случаях первый сервер ответит жертве сообщением об ошибке, что также вызовет аналогичное поведение и на другом сервере».

Этот процесс может продолжаться до тех пор, пока все доступные ресурсы серверов не будут полностью исчерпаны, что сделает их невосприимчивыми к легитимным запросам.

По словам исследователей, данная атака легко эксплуатируется, хотя пока нет свидетельств её активного использования. Среди уязвимых производителей сетевого оборудования такие известные бренды, как Broadcom, Cisco, Honeywell, Microsoft и MikroTik.

Для предотвращения риска DoS-атак методом «Loop DoS», CERT рекомендует устанавливать последние патчи от производителей, отключать ненужные UDP-сервисы и применять правила брандмауэра и списки контроля доступа для UDP-приложений.

Кроме того, рекомендуется использовать антиспуфинговые решения, такие как BCP38 и Unicast Reverse Path Forwarding (uRPF), а также меры Quality-of-Service (QoS) для ограничения сетевого трафика и защиты от злоупотреблений сетевыми циклами. Эти меры помогут минимизировать риск и обеспечить защиту от возможных злоупотреблений.