Un nuevo ataque de denegación de servicio denominado ‘Loop DoS’ dirigido a protocolos de capa de aplicación puede emparejar servicios de red en un bucle de comunicación indefinido que crea grandes volúmenes de tráfico.
Ideado por investigadores del Centro Helmholtz-Centro para la Seguridad de la Información de CISPA , el ataque utiliza el Protocolo de datagramas de usuario (UDP) y afecta a unos 300.000 hosts y sus redes.
El ataque es posible debido a una vulnerabilidad, actualmente rastreada como CVE-2024-2169 , en la implementación del protocolo UDP, que es susceptible a la suplantación de IP y no proporciona suficiente verificación de paquetes.
Un atacante que explota la vulnerabilidad crea un mecanismo que se perpetúa a sí mismo y genera tráfico excesivo sin límites y sin forma de detenerlo, lo que lleva a una condición de denegación de servicio (DoS) en el sistema objetivo o incluso en toda la red.
Loop DoS se basa en la suplantación de IP y puede activarse desde un único host que envía un mensaje para iniciar la comunicación.
Según el Centro de Coordinación Carnegie Mellon CERT (CERT/CC), hay tres resultados potenciales cuando un atacante aprovecha la vulnerabilidad:
- Sobrecarga de un servicio vulnerable y provoca que se vuelva inestable o inutilizable.
- Ataque DoS a la red troncal, provocando cortes de red en otros servicios.
- Ataques de amplificación que involucran bucles de red que causan ataques DOS o DDOS amplificados.
Los investigadores de CISPA, Yepeng Pan y el profesor Dr. Christian Rossow, dicen que el impacto potencial es notable y abarca protocolos obsoletos (QOTD, Chargen, Echo) y modernos (DNS, NTP, TFTP) que son cruciales para funciones básicas basadas en Internet como la sincronización horaria. resolución de nombres de dominio y transferencia de archivos sin autenticación.
“Si dos servidores de aplicaciones tienen una implementación vulnerable de dicho protocolo, un atacante puede iniciar una comunicación con el primer servidor, falsificando la dirección de red del segundo servidor (víctima)”, explica CERT/CC .
“En muchos casos, el primer servidor responderá con un mensaje de error a la víctima, lo que también desencadenará un comportamiento similar de otro mensaje de error al primer servidor” – Centro de Coordinación CERT
Este proceso continúa hasta que todos los recursos disponibles se agotan por completo, lo que hace que los servidores dejen de responder a solicitudes legítimas.
En total, se estima que 300.000 servidores de Internet son vulnerables a ataques Loop DoS.
Los investigadores advirtieron que el ataque es fácil de explotar y señalaron que no hay evidencia que indique una explotación activa en este momento.
Rossow y Pan compartieron sus hallazgos con los proveedores afectados y notificaron al CERT/CC para una divulgación coordinada.
Hasta ahora, los proveedores que confirmaron que sus implementaciones están afectadas por CVE-2024-2169 son Broadcom, Cisco, Honeywell, Microsoft y MikroTik.
Para evitar el riesgo de denegación de servicio a través de Loop DoS, CERT/CC recomienda instalar los parches más recientes de los proveedores que abordan la vulnerabilidad y reemplazan los productos que ya no reciben actualizaciones de seguridad.
El uso de reglas de firewall y listas de control de acceso para aplicaciones UDP, desactivar servicios UDP innecesarios e implementar TCP o validación de solicitudes también son medidas que pueden mitigar el riesgo de un ataque.
Además, la organización recomienda implementar soluciones anti-spoofing como BCP38 y Unicast Reverse Path Forwarding (uRPF), y utilizar medidas de calidad de servicio (QoS) para limitar el tráfico de red y proteger contra el abuso de bucles de red y amplificaciones DoS.
Fuente: bleepingcomputer.com