Als deze fouten worden misbruikt, kunnen aanvallers ongeoorloofde toegang krijgen tot gevoelige informatie of in het algemeen problemen veroorzaken
Het Coördinatiecentrum CERT (Computernoodreactieteam) uitgegeven een paar dagen geledenEr is een waarschuwing over een reeks kwetsbaarheden in toepassingsprotocolimplementaties die gebruikmaken van UDP als transport. Het CERT vermeldt dat deze kwetsbaarheden bestaan kan een dienstweigering veroorzaken door pakketlussen tussen hosts te genereren, de beschikbare bandbreedte uit te putten, netwerkdiensten te blokkeren en DDoS-aanvallen te faciliteren. (bijvoorbeeld het creëren van een hoge belasting en het overschrijden van de limieten voor de aanvraagsnelheid).
Er wordt vermeld dat de kwetsbaarheden Ze komen voort uit het gebrek aan beveiliging van het UDP-protocol tegen adresspoofing. Bij gebrek aan bescherming tegen dit soort spoofing op transitrouters kan een aanvaller het IP-adres van een willekeurige server specificeren in een UDP-pakket en dit naar een andere server sturen. Deze tweede server stuurt een antwoord terug naar het opgegeven valse adres.
Beveiligingsonderzoekers hebben vastgesteld dat bepaalde implementaties van het UDP-protocol in toepassingen kunnen worden geactiveerd om een netwerklus van schijnbaar eindeloze pakketten te creëren...
Als twee applicatieservers bijvoorbeeld een kwetsbare implementatie van een dergelijk protocol hebben, kan een aanvaller de communicatie met de eerste server initiëren, waarbij hij het netwerkadres van de tweede (slachtoffer)server vervalst. In veel gevallen zal de eerste server reageren met een foutmelding naar het slachtoffer, wat ook een soortgelijk gedrag van een andere foutmelding voor de eerste server zal veroorzaken. Er is aangetoond dat dit gedrag hulpbronnen uitput en ertoe kan leiden dat services niet meer reageren of instabiel worden.
De aanvalsmethode is gebaseerd op het creëren van een pakketuitwisselingslus tussen servers die kwetsbare protocolimplementaties gebruiken. Wanneer de bestemmingsserver bijvoorbeeld met een foutcode op een binnenkomend pakket reageert, zal de server waarvan het adres door de aanvaller is vervalst, ook zijn antwoord verzenden, waardoor een aanvullend antwoord van de oorspronkelijke server wordt gegenereerd, enzovoort, waardoor een crashsituatie ontstaat. eindeloze lus of "ping-pong" tussen servers.
Kwetsbare protocollen implementaties omvatten DNS, NTP, TFTP, Echo, Chargen en QOTD, Bovendien is de aanwezigheid van de CVE-2024-2169-kwetsbaarheid bevestigd in producten van onder meer Cisco, maar ook van Microsoft en Broadcom.
Een globale scan van internetadressen onthulde dat er minstens 23 duizend kwetsbare TFTP-servers zijn, 63 duizend DNS-servers, 89 duizend NTP-servers, 56 duizend Echo/RFC862-diensten, 22 duizend Chargen/RFC864-diensten en 21 duizend QOTD/RFC865-diensten. In het geval van NTP-servers wordt de niet-gepatchte kwetsbaarheid toegeschreven aan het gebruik van zeer oude versies van ntpd vóór 2010.
De Echo-, Chargen- en QOTD-services zijn inherent kwetsbaar vanwege hun architectuur en er wordt vermeld dat de situatie met de TFTP- en DNS-servers onderzoek met hun beheerders vereist. De atftpd- en tftpd-servers worden niet beïnvloed door het gebruik van een willekeurig bronnetwerkpoortnummer bij het verzenden van een antwoord. Er wordt vermeld dat dproxy-nexgen een van de kwetsbare DNS-servers is. Op Microsoft-producten heeft het probleem betrekking op WDS (Windows Deployment Services), terwijl het op Cisco-producten routers uit de 2800- en 2970-serie treft.
Como methode om “het probleem op te lossen” wordt aanbevolen om uRPF in de firewall in te schakelen, het beperken van de toegang tot onnodige UDP-services en het configureren van verkeersintensiteitsbeperking als tijdelijke oplossingen om deze kwetsbaarheden te blokkeren.
Als zodanig Dit soort aanvallen zijn niet nieuwOmdat er, om een voorbeeld te noemen, sprake is van een kwetsbaarheid die is gedetecteerd in de ntpd-tijdsynchronisatieserver, werd in 2009 een variant van de aanval aangepakt (CVE-2009-3563) in versies 4.2.4p8 en 4.2.5. Deze aanval omvatte het verzenden van een NTP-pakket met een vervalst adres en de MODE_PRIVATE-vlag geactiveerd. Toen de doelserver dit pakket verwerkte, retourneerde deze een antwoord waarin werd aangegeven dat de privémodus niet kon worden gebruikt, maar liet de vlag MODE_PRIVATE in het antwoord ingeschakeld.
Wanneer je geïnteresseerd om er meer over te weten, kunt u de details inchecken de volgende link.